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(57) Abstract 

The invention concerns a terminal com- 
prising a terminal module (1) and a personal se- 
curity device (31). The terminal (1) is adapted 
for receiving requests from an application (Fap) 
implanted on an electronic unit in the form of 
high level requests independent of the module (1) 
and of said personal security device (31). One at 
least of the terminal module (1) and the personal 
security device (31) comprises a reprogrammable 
storage memory and means for executing a filter 
software (F) translating the high level requests 
into at least one of (i) at least one data exchange 
sequence between the terminal module (1) and 
the user or (ii) at least an elementary command 
or sequence of commands executable by the per- 
sonal security device, and means for protecting 
said filter software (F, 62) to prevent any modifi- 
cation of said software by a non-authorised per- 
son. The filter software comprises means for identifying and/or authenticating the origin of requests transmitted by said application (Fap) 
implanted in said unit. 
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(57) AbregS 


Ce terminal comprend un module terminal (1) et un dispositif personnel de sftnint* (31). Le termmal (1) ^f^^^J^. 
requetes d'une application (Fap) implantee sur une unit6 electronique sous la forme de requetes de haul niveau md6 pen dante du modJM>) 
et dudit dispositif personnel de sdcuritd (31). L'un au moins du module terminal (1) et du dispositif personnel de secunte (31) comprend 
^i^SJSSunaWe de stockage et des moyens d'execution d'un logiciel nitre (F) traduisant les requetes de haut niveau en au 
SnTl We (O au moins une sequence d'echange <te donnees entre le module terminal (1) et l'utilisateur ou (,.) au moins une commande 
Sntaire SVne sequence de commandes elemental executable* par le dispositif personnel de sdcunte, ains, q"^es moyens de 
Protection dudit logiciel nitre (F, 62), pour empecher toute modification dudit logiciel par une personne non au onsee. Le logic el filtre 
SrnprS de moyens d' identification et/ou d'authentification de l'origine des requetes emises par ladite application (Fap) implantee dans 


ladite unit6. 


UNIQUEMENT A TITRE D' INFORMATION 

Codes utilis6s pour identifier les Etats parties au PCT, sur les pages de couverture des brochures publiant des demandes 
internationales en vertu du PCT. 

Sloven ie 
Slovaquie 
Senegal 
Swaziland 
Tchad 
Togo 

Tadjikistan 
Turkmenistan 
Turquic 

Trinite-et-Tobago 
Ukraine 
Ouganda 

Etats-Unis d'Amerique 
Ouztekistan 
Vict Nam 
Yougostavie 
Zimbabwe 


AL 

Albanie 

ES 

Espagne 

AM 

Arm erne 

FI 

Finlande 

AT 

Autriche 

FR 

France 

AU 

Austral ie 

GA 

Gabon 

AZ 

Azerbaijan 

GB 

Royaume-Uni 

BA 

Bosnie-Herzegovine 

GE 

Georgie 

ItB 

Barbade 

GH 

Ghana 

BE 

Belgique 

GN 

Guinec 

BF 

Burkina Faso 

GR 

Grcce 

BG 

Bulgarie 

HU 

Hongrie 

BJ 

Benin 

IE 

Irlande 

BR 

Bresil 

IL 

Israel 

BY 

Belarus 

IS 

Islande 

CA 

Canada 

IT 

Ttalie 

CF 

Republique centrafricaine 

JP 

Japon 

CG 

Congo 

KE 

Kenya 

CH 

Suisse 

KG 

Kirghizistan 

CI 

Cdte d'lvoire 

KP 

Republique populaire 

CM 

Cameroun 


ddmocratique de Coife 

CN 

Chine 

KR 

Republique de Cor6e 

CU 

Cuba 

KZ 

FCazakstan 

CZ 

Republique tcheque 

LC 

Sainte-Lucie 

DE 

AUemagne 

LI 

Liechtenstein 

DK 

Dan em ark 

LK 

Sri Lanka 

EE 

Estonie 

LR 

Liberia 


LS 

Lesotho 

SI 

LT 

Lituanie 

SK 

LU 

Luxembourg 

SN 

LV 

Lettonie 

SZ 

MC 

Monaco 

TD 

MD 

Republique de Moldova 

TG 

MG 

Madagascar 

TJ 

MK 

Ex -Republique yougoslave 

TM 


de Macedoine 

TR 

ML 

Mali 

TT 

MN 

Mongolie 

UA 

MR 

Mauritanie 

UG 

MW 

Malawi 

US 

MX 

Mexique 

UZ 

NE 

Niger 

VN 

NL 

Pays-Bas 

YU 

NO 

Norvege 

ZW 

NZ 

Nouvelle-Zeiande 


PL 

Pologne 


PT 

Portugal 


RO 

Roumanie 


RU 

Federation de Russie 


SD 

Soudan 


SE 

Suede 


SG 

Singapour 



WO 99/62037 PCT/FR9 9/0 1202 

1 

Terminal et svsteme pour la mise en oeuvre He transactions electronigues securisees 

La presente invention concerne un terminal et un systeme pour la mise en oeuvre de 
transactions electroniques securisees. 

Les reseaux publics de transmission de donnees numeriques, tels que le reseau 
Internet, connaissent un developpement considerable. Cependant, I'un des freins qui 
5 limitent actuellement la mise en oeuvre de transactions electroniques securisees sur ce type 
de reseau reside dans I'insuffisance des mecanismes de securite associes £ de telles 
transactions, insuffisance qui se traduit par un manque de confiance des utilisateurs et 
operateurs de reseaux. 

Au sens de la presente demande : 
10 - une transaction electronique designe un echange d* informations, via un reseau public 

de transmission de donnees numeriques ou de telecommunications, soit entre deux ou 
plusieurs utilisateurs, soit entre un utilisateur et un foumisseur de services, 

- une fonction est un traitement effectue dans Pobjectif de rendre un service k un utilisateur, 

- une application designe un ensemble coherent de services et de fonctions, 

1 5 - Pexpression logiciel d'application designe le ou les logiciels necessaires pour mettre en 

oeuvre les fonctions relatives k une application donnee, 

- une transaction securisee est une transaction pour laquelle certaines mesures de 
securite sont prises, k savoir Pauthentification des entites participant & la transaction, 
Pintegrite, la confidentialite, Pauthenticite, et eventuellement la non repudiation des 

20 echanges et operations effectuees dans le cadre de la transaction . 

De nombreuses applications necessitent que les transactions electroniques mises en 
oeuvre soient securisees. II s'agit par exemple du contrdle d'accfes ei des ressources 
informatiques ou similaires, de la banque & domicile (consultation, mouvements de comptes 
bancaires, etc... par Pintermediaire du reseau telephonique ou d'lnternet), du commerce 
25 electronique (achat de biens ou services par Pintermediaire d'un reseau public), du courrier 
electronique, du porte-monnaie electronique, etc.. 

Ces applications, ainsi que d'autres, necessitant des transactions securisees sont bien 
connues des specialistes de la technique et ne sont pas decrites ici en details. 

Suivant leur nature, la securisation de ces applications necessite la mise en oeuvre d'un 
30 ou plusieurs services de securite tels que : 

- I'authentification, qui peimet de garantir I'identite d'une entite (une personne ou un systeme) ; 

- le contrdle d'acc^s, qui confere une protection contre ('utilisation ou la manipulation 
non autorisee de ressources ; 

- la confidentialite, qui interdit la divulgation de donnees k des entites non autorisees ; 
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- hntegrite de donnees, qui assure que des donm§es n'ont pas ete modifiees, supprimees 
ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu'un participant k un echange de donnees ne pourra 
pas ulterieurement nier ('existence de cet echange. 

5 La combinaison de deux techniques existantes permet d'envisager la mise en ceuvre 

de ces services de security offrant ainsi un niveau de s^curite suffisant pour effectuer des 
transactions electroniques. 
II s'agit de : 

- la cryptographie k de publique et de privee, car elle permet de garantir la non 
1 0 repudiation et facilite la gestion des des ; 

- la carte k circuit integrS (ou "smart card") car elle est peu coOteuse, facile k utiliser et 
sOre grSce k des microprocesseurs specifiques dotes de protections materielles et logicielles 
permettant d'interdire PaccSs en lecture et en ecriture k leurs memoires. 

Les cartes k circuit integre offrent les services suivants : 
1 5 * I'authentification du porteur ou utilisateur de la carte : cette operation permet d'authentifier le 

porteur k Paide d'un code confidentiel et k la carte d'accepter par la suite la mise en ceuvre 
d'operations telles que Pexecution d'algorithmes, la lecture de des secretes, la lecture et/ou Pecriture 
de donnees dans la carte, qui peuvent en outre &ne soumises k d'autres conditions de security ; 

* la protection des donnees et fonctions stockees sur la carte k circuit integre. L'acc£s k la 
20 carte peut etre soumis k une authentication prtalable de Pentite electronique demandant k y 

acceder. Cette authentification exteme se fait generalement en mode challenge/reponse. Dans ce 
cas, Pentite dispose d'un param&re secret, cypres appele egalement secret, qui lui permet de 
calculer, en fonction d'un challenge emis par la carte, une reponse qui prouvera k la carte qu'elle 
est en possession du secret ; 
25 * execution d'algorithmes cryptographiques utilisant un patam&re secret memorise dans la 

carte (chiffrement, authentification de message, signature) ; 

* authentification interne. Ce service permet k une application d'authentifier la carte. Ce 
service est Pinverse d'une authentification exteme. La carte g6n£re une reponse en fonction d'un 
challenge regu et d'un secret stocke dans la carte. 

30 Les services offerts par la carte k circuit integre sont mis en ceuvre sur reception de 

commandes dites elementaires, Pexecution de la commande elementaire provoquant Penvoi 
de reponses elementaires. Ces commandes elementaires concernent, par exemple, des 
calculs cryptographiques, la lecture ou I'ecriture de donnees secretes ou non, des 
interventions de Putilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
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transaction apr£s signature), les retours conformation vers I'utilisateur (affichage des 
messages k signer, par exemple). 

Certaines cartes offrent la possibility de verifier Pintygrity, I'origine, voire la 
confidentiality des commandes envoy£es k la carte. Ces services reposent sur des techniques 
5 d'authentification et de chiffrement des commandes. 

(.'utilisation qui est faite actuellement des cartes k circuit int6gr6 (ou cartes k micro- 
circuit) offre un degr6 tr^s yievy de s6curite car les transactions sont essentiellement mises en 
ceuvre sur des r§seaux priv6s et des terminaux (distributeurs automatiques de billets, 
terminaux points de vente par exemple) qui sont sous le contrfile d'une entity assurant la 
1 0 security de I 'ensemble du systyme. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs n'ont pas acc£s au logiciel 
duplication, ni aux mycanismes de sycurity matyriels et logiciels dont sont dotys les tenminaux. 

Par contre, la mise en ceuvre de transactions sycurisyes avec des cartes k circuit intygry sur 
un ryseau public suppose que les utilisateurs aient k leur disposition un module terminal lecteur 
1 5 de carte, ytant donny que ces cartes k micro-circuit ne sont pas dotyes d ! une source d'ynergie 
yiectrique propre et que leur mise en oeuvre requiert un lecteur susceptible de les alimenter et 
d^tablir une communication avec I'utilisateur et/ou des moyens yiectroniques extyrieurs. 

A I'heure actuelle, pour ryaliser une transaction sur un ryseau public, I'utilisateur 
dispose d'un terminal, qui peut etre un produit dydiy, un ordinateur personnel, ou un 
20 ordinateur personnel couply k une carte k circuit integry par un lecteur de carte. 

Dans tous les cas, le systyme de transactions k la disposition de I'utilisateur est en 
gynyral constituy de : 

• un foumisseur de services applicatifs pouvant §tre, par exemple, un navigateur Internet, 
un logiciel de messagerie, un logiciel de banque k domicile ("Home banking"), 
25 • un foumisseur de services de security de haut niveau permettant Texecution des 
mycanismes cryptograph iques de bas niveau requis par I'application. 

Le foumisseur de services applicatifs ymet des requStes de services de sycurity de haut 
niveau pour assurer la sycurity des transactions mises en oeuvre. 

Dans le cas od I'application est implantye sur I'ordinateur personnel de I'utilisateur, les 
30 services cryptographiques auxquels il est fait ryfyrence sont, par exemple, ceux dyfinis par la 
Sociyty RSA Laboratories dans son standard "PKCS 11 : Cryptographic Token Interface 
Standard", ou encore les services cryptographiques offerts par le systyme d'exploitation 
Windows NT de Microsoft, en particulier ceux proposys par ('Interface des programmes 
duplication (API) "Crypto API". 
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Lorsque I'utilisateur ne dispose pas de lecteur de carte k circuit integre, les services 
cryptograph iques sont rSalisSs de mantere logicielle uniquement.. 

Lorsque I'utilisateur veut amSliorer la sScurite, il utilise un lecteur de carte k circuit 
integrS de type transparent connects a son ordinateur. Un lecteur de carte de type 
5 transparent est en fait un boTtier d'interface entre Tordinateur et la carte k circuit integre qui 
permet de transmettre des commandes 6l6mentaires de I'ordinateur, provenant du 
fournisseur de services cryptograph iques, vers la carte, et les rSponses elementaires de la 
carte vers I'ordinateur. Un utilisateur peut, k I'aide de ce terminal, (constituS de son module 
terminal - ordinateur + lecteur - couple k sa carte) effectuer des transactions electroniques 
1 0 (commerce electronique par exemple). 

Bien entendu, I'accSs des utilisateurs k un tel terminal engendre des risques potentiels 
du point de vue de la s£curite. 

Les risques encourus seront d'autant plus grands que les applications seront 
d£centralis6es. Et vice versa, les applications pourront Stre d'autant plus decentralisees, que 
15 les risques c6t£ terminaux seront maTtrisSs. Par exemple, on peut envisager des applications 
de type porte-monnaie, dans lesquelles les transactions (debit de la carte acheteur/credit de 
la carte commergant) se feront de carte k carte, sans necessiter une consolidation des 
transactions au niveau d'un serveur central. 

II r6sulte de ce qui precede, qu'un terminal peut potentiellement contenir un 
20 ensemble d'informations, voire des logiciels, sur la confidentiality et I'integrite desquels 
repose la security de ("application. Comme exemple, on peut citer des cles secretes utilisees 
pour I'authentification du module terminal vis-^-vis de la carte, ou pour le chiffrement de 
donn^es entre un serveur et le module terminal lecteur de carte. Or, un fraudeur peut 
profiter du fait d'avoir k sa disposition un terminal pour analyser son fonctionnement et 
25 acceder aux informations et logiciels confidentiels. 

II faut egalement noter que les applications auxquelles il est fait reference ici, telles 
que le commerce ou le courrier electronique, sont la plupart du temps mises en oeuvre k 
travers le reseau Internet. II est bien connu des experts qu'un ordinateur personnel ou PC 
connects au rSseau Internet est trSs vulnerable aux logiciels de type virus, qui peuvent etre 
30 installs et executes sur le PC de I'utilisateur sans m6me qu'il le sache et sans qu'il ait laissS 
un accds physique k son ordinateur k qui que ce soit. Le c6te totalement invisible de ce type 
de menace reprSsente le reel danger qui limite k I'heure actuelle le dSploiement des 
applications transactionnelles utilisant Internet. Les mSmes commentaires peuvent 
s'appliquer aux applications de commerce electroniques envisages k partir des rSseaux 
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cables de television en utilisant des decodeurs ou "seMop box" raccordes au poste de 
television et comportant un ou deux lecteurs de cartes k puce. 
Les risques au niveau du systeme sont alors les suivants : 

• Attaque sur I'integrite du foumisseur de services cryptographiques et du fournisseur de 
5 services applicatifs visant k modifier le comportement du module terminal : a titre 

d'exemple, le module terminal est modify de manure k capturer les informations liees k la 
carte, stocker les informations obtenues pour ensuite les communiquer k un faux serveur. 
Cette attaque peut etre r^alisee k I'insu de I'utilisateur legitime (substitution du module 
terminal de I'utilisateur ou prfit d'un module terminal modifie). Cette attaque peut ensuite se 
1 0 generaliser sous la forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidentiality du fournisseur de services cryptographiques, visant k se 
procurer les des cryptographiques qu'il manipule, lesquelles des sont par exemple stockees 
sur le disque dur d'un ordinateur. 

• Attaque vis-d-vis d'autres cartes, bas£e sur une capacity k pouvoir s'authentifier vis^-vis de ces 
1 5 carles, grace aux secrets decouverts par une attaque sur la confidentiality du fournisseur de services. 

• Attaque sur I'integrite et la confidential ite des communications entre les differentes 
entites (fourpisseurs de services applicatifs, foumisseurs de services cryptographiques, 
lecteur de carte k circuit integre, carte k circuit integre, serveur) permettant de rompre la 
chaTne de confiance etablie entre ces elements . Par exemple: 

20 1 - dechiffrement des communications entre serveur et terminaux ; 

2 - insertion d'un logiciel tiers entre le foumisseur de services applicatifs et le foumisseur de 
services cryptographiques visant k rompre la chaTne de confiance entre ces deux logiciels ou bien 
substitution du logiciel applicatif par un logiciel tiers visant k faire exporter au foumisseur de 
services de security des requfites de security dans un but different de celui de ('application 

25 connue de I'utilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode connecte) : connexion 
d ! un terminal contrefait k un serveur, Emulation d'un couple module terminal-carte k circuit 
integre pour obtenir des avantages. 

Ainsi, une attaque sur la chaTne de confiance entre le fournisseur de services 
30 cryptographiques et le fournisseur de services applicatifs, dans le cadre d'une application 
requ£rant la signature d'une transaction electronique k I'aide d'une carte a circuit integre, est 
illustr£e ci-apr^s. Le deroulement de la transaction est le suivant : 

- Etape 1 : verification du code confidential personnel (PIN) de I'utilisateur, que celui- 
ci introduit par un clavier associe k son module terminal, le code introduit etant transmis k la 
35 carte pour verification par cette derniere. 
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- Etape 2 : authentification du module terminal. Ce dernier envoie une commande 
"demande challenge". (Un challenge est un nombre altatoire ou pseudo-altatoire). La carte 
k circuit integrt gtntre le challenge et le transmet au module terminal. Le module terminal, 
envoie k la carte une commande "authentification externe" accompagnte d'une rtponse 

5 constitute du challenge chiffrt par une clt dttenue par le module terminal. La carte k circuit 
inttgrt verifie alors la rtponse re?ue. 

- Etape 3 : si les Stapes 1 et 2 se sont dtroultes de manure satisfaisante, la carte k 
circuit inttgre est prtte k recevoir et executer la commande signature, c'est-^-dire une 
commande de chiffrement, au moyen d'une cle privte stockte dans la carte, du resultat 

10 d'une operation de hachage rtalisee sur la transaction saisie par Putilisateur. Aprts ce 
chiffrement, la carte tmet, k destination du module terminal, la signature constitute du 
rtsultat de P operation de hachage ("hash") ainsi chiffrt. 

Si Pinttgritt du logiciel d'application (foumisseur de services applicatifs et son 
fournisseur de services cryptographiques) n ! est pas assume, un fraudeur n'a pas besoin de 

15 connaitre les cits et codes secrets pour pirater le systtme de transaction : il lui suffit 
d'implanter dans le module terminal, par exemple dans Pordinateur personnel auquel est 
raccordt un lecteur de carte k circuit inttgrt, un logiciel de type virus qui, k Petape 3, 
detourne les donntes authentiques k signer et envoie k la carte des donntes falsifiees. Etant 
donnt que les ttapes 1 et 2 se sont dtroulees de manitre satisfaisante, la carte signera alors 

20 les donntes falsifies sur la base du PIN que Putilisateur a lui-mtme introduit et celui-ci 
croira que la carte va signer ses propres donntes. 

L'exemple prtcedant montre la ntcessitt de proteger non seulement les informations 
confidentielles mises en oeuvre dans le cadre d'une transaction, mais aussi I'inttgrite de la 
transaction, c'est-d-dire I'inttgrite du comportement de chaque entite intervenant dans la 

25 transaction, ainsi que I'inttgritt du comportement d'ensemble du logiciel en veillant k la non 
rupture de la chaine de confiance ttablie entre les difftrentes entitts. 

Les risques d'attaque mentionnts ci-dessus sont k I'heure actuelle en partie couverts 
par des terminaux - lecteurs de carte k circuit inttgrt integrant des modules de security 
(SAM, analogue k une carte k circuit inttgrt) qui sont utilises notamment dans le cadre des 

30 applications porte-monnaie. Le lecteur est alors personnalist par un SAM, et attribut k un 
commergant, les cartes lues ttant celles des clients. Ce SAM contient des informations 
secretes et est susceptible d'extcuter des algorithmes utilisant ces informations secretes. 
Mais, il ne contient pas de moyens permettant notamment de piloter les communications 
avec Putilisateur, avec la carte k circuit inttgrt et/ou avec des moyens tlectroniques 

35 exttrieurs, et done la stcurisation de transaction n'est pas assurte. 
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II est egalement connu par le document WO 95/04328 un module terminal 
comprenant des moyens d'interface avec I'utilisateur et des moyens d'interface avec des 
moyens electroniques exterieurs (ci-apr£s appelSs moyens d'interface externe), comportant 
une interface avec une carte k micro-circuit. Le microprocesseur du module terminal 
5 comprend des moyens de stockage de donnees (ROM, EEPROM, RAM). Les donn^es 
stock6es en m6moire permanente (ROM) comprennent entre autres un systeme 
d'exploitation, des gestionnaires de composants externes pilotant les interfaces et 
p£ripheriques, et un interpr&eur capable d*interpr6ter des modules programmes ecrits dans 
un langage sp^cifique. Les modules programmes sont stocks dans la m6moire semi- 

10 permanente EEPROM et peuvent §tre charges en m^moire temporaire RAM pour 6tre 
executes par le microprocesseur lors de Pactivation d'une interface appropriee par 
I'utilisateur. Les modules programmes, correspondant aux applications du module terminal, 
sont t6l£charg£s dans la m^moire EEPROM du microprocesseur ou dans une carte a micro- 
circuit k partir d'un serveur exteme. 

1 5 Le module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module terminal executant un 
module programme stocks dans une mSmoire interne, sans faine appel k une carte k circuit int6gn§ ; 

- en mode terminal autonome, dans lequel un module programme stocke dans une carte 
est execute ; 

20 - en mode terminal 6tendu ou connect^, dans lequel le microprocesseur du module terminal ou 
celui de la carte execute un module programme et une communication est etablie via le 
telephone, un modem ou une liaison directe avec un foumisseur de services ou un serveur ; 

- en mode lecteur de carte a m§moire transparent, dans lequel des instructions revues par 
une liaison sdrie sont transmises directement k la carte et vice et versa. 

25 Le terminal d£crit au document WO 95/04328 ne traite pas des probl&mes de s^curite 

vises par I'invention dans la mesure oCi il ne d^crit pas comment sScuriser une transaction en 
garantissant I'int6grit6 du comportement d'ensemble du logiciel executant la transaction. II ne 
d6crit notamment pas de moyens pemnettant I'ex^cution de requites de haut niveau §mises par 
('application, ni comment garantir I'origine, I'int6grit§ et la confidentiality de ces moyens. 

30 La pr&ente invention vise k fournir un terminal pour la mise en oeuvre de transactions 

Electroniques sEcurisEes, du type comprenant un dispositif personnel de sEcurite tel qu'une 
carte k circuit int6gr6 ou autre dispositif remplissant les m&mes fonctions, et un module 
terminal dote de moyens d'interface avec le dispositif personnel de security, tels qu'un 
lecteur de carte k circuit int6gr£, et offrant de par son architecture logicielle et/ou materielle 

35 et les mScanismes de s6curit6 qu'il comporte, un niveau de security amEliore, compatible 
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avec le fait que le terminal peut Stre plac6 sous le contrdle des utilisateurs, (par opposition k 
des terminaux controls par des opSrateurs). 

Un deuxiSme objectif de I'invention est d'assurer ce mSme niveau de sScurite tout en 
permettant ('integration, en cours d'utilisation, de fonctions ou applications nouvelles, ou 
5 I Evolution des fonctions ou applications existantes sans avoir recours k une multitude de 
modules terminaux differents ou au changement des modules terminaux lors des Evolutions. 

A cet effet, Pinvention a pour objet un terminal pour la mise en ceuvre, par un 
utilisateur, de transactions 6lectroniques s6curis6es en liaison avec au moins une application 
implantee sur une unite Slectronique, ledit terminal comprenant : 
10 - un module terminal comportant au moins : 

• des premiers moyens d' interface avec ladite application pour en recevoir des 
requites relatives auxdites transactions, 

• des deuxi&mes moyens d'interface avec ledit utilisateur, 

• des troistemes moyens d'interface avec un dispositif personnel de security 

1 5 • des premiers moyens de traitement de donn6es comprenant au moins des premiers 

moyens logiciels de pilotage desdits moyens d'interface, et 
- un dispositif personnel de s^curite comportant au moins des deuxiemes moyens de 
traitement de donnSes s6curis6es comprenant au moins des deuxifemes moyens logiciels 
d'ex&rution de commandes elementaires et des moyens d'ex£cution de calculs 
20 cryptograph iques, caracteris6 en ce que : 

* ledit terminal est adapts pour recevoir lesdites requites de ladite application 
implantee sur ladite unite 6lectronique sous la forme de requites de haut niveau 
ind£pendantes dudit dispositif personnel de securite, 

* Tun au moins dudit module terminal et dudit dispositif personnel de securite compnend : 
25 • au moins une rrtemoire reprogrammable de stockage d'au moins un logiciel filtre, 

traduisant lesdites requfites de haut niveau en en au moins Tune de : 

(i) au moins une commande 6l6mentaire ou une sequence de commandes 

6l6mentaires ex&rutables par lesdits deuxiemes logiciels desdits deuxtemes 

moyens de traitement de donnSes, ou 
30 (ii) au moins une sequence d ! 6change de donn£es entre ledit module terminal et 

ledit utilisateur via lesdits seconds moyens d'interface, ledit echange de donnees 

&ant execute par lesdits premiers moyens logiciels desdits premiers moyens de 

traitement de donnees, 
• des moyens de protection dudit logiciel filtre pour empScher toute lecture 
35 et/ou modification dudit logiciel par une personne non autorisee, et 
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* Tun au moins desdits premiers et deuxiemes moyens de traitement ,de donnees 
comprend un dispositif de traitement de donnees pour I'execution dudit logiciel filtre. 
[-'invention definie ci-dessus permet d'atteindre les objectifs de securite requis par la 
mise en oeuvre de transactions electroniques grace au fait qu'elle decrit un filtre ou pare-feu 
5 (" firewall ") entre le monde exterieur, c'est-^-dire les applications elles-memes, et les 
moyens de securite et peripheriques qu'il gere, au moyen d'une interface logique permettant 
la definition du format des requites de haut niveau emises par les applications et d'un 
logiciel de traduction assurant le traitement de ces requites. 

De preference, le terminal suivant Pinvention comprend une ou plusieurs des 
1 0 caracteristiques suivantes, eventuellement combinees : 

- ledit dispositif d'execution du logiciel filtre comprend des premiers moyens 
d' identification et/ou d'authentification de ladite application implantee dans ladite unite ou 
de I'origine desdites requites emises par ladite application ; 

- ledit dispositif de traitement de donnees pour ('execution dudit logiciel filtre comprend 
15 des moyens de verification de I'integrite des donnees refue de ladite application ; 

* ledit dispositif de traitement de donnees pour I'execution dudit logiciel filtre comprend 
des moyens centralises de contrdle des conditions d'utilisation des services du dispositif 
personnel de securite, en fonction de ladite application et/ou dudit utilisateur; 

- ledit dispositif de traitement de donnees pour I'execution dudit logiciel filtre comprend : 
20 • des moyens pour commander le chargement securise dudit logiciel filtre dans 

ladite memoire programmable, via Tun desdits premiers ou troisiemes moyens 
d'interface, k partir d'une entite exterieure audit module, et 
• des premiers moyens de contrdle d'accds pour n'autoriser ledit chargement dudit 
logiciel filtre qu f en reponse k au moins une condition predefinie ; 
25 - le terminal comprend des deuxiemes moyens d'authentification desdits premiers 
moyens de traitement de donnees par lesdits deuxiemes moyens de traitement de donnees ; 

- le terminal comprend des troisiemes moyens d'authentification desdits deuxiemes 
moyens de traitement de donnees par lesdits premiers moyens de traitement de donn6es ; 

- le terminal comprend un premier canal de communication entre lesdits premiers et 
30 deuxiemes moyens de traitement de donnees et des premiers moyens de securisation dudit 

premier canal de communication ; 

- le terminal comprend des quatrieme moyens d'authentification dudit module terminal 
par ledit utilisateur, independamment de ladite carte ; 

- lesdits quatriemes moyens d'authentification comprennent des moyens de calcul, par 
35 lesdits premiers moyens de traitement de donnees, et de presentation audit utilisateur, via 
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lesdits deuxteme moyens d'interface, d'un mot de passe connu dudit utilisateur et calculi sur 
la base d'au moins un premier parametre secret stocks dans lesdits premiers moyens de 
traitement de donnees ; 

- le terminal comprend des cinqui&nes moyens d'authentification conjointe dudit module 
5 terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinqutemes moyens d'authentification comprennent des moyens de calcul, par 
(edit dispositif d'execution dudit logiciel, et de presentation audit utilisateur, via lesdits 
deuxiemes moyens d'interface, d'un mot de passe connu dudit utilisateur et calculi sur la 
base d'au moins un deuxieme et un troisteme param&tres secrets stockes respectivement 

1 0 dans lesdits premiers et deuxiemes moyens de traitement de donnees. 

Selon une premiere forme de realisation de 1'invention, le module terminal est 
constitue par un ordinateur personnel et ladite memoire programmable est constitute par le 
disque dudit ordinateur, ledit logiciel filtre est execute sur I'ordinateur personnel ou bien 
dans un deuxieme mode d'execution, ladite memoire programmable est implantee sur un 
15 serveur securise relie k I'ordinateur personnel, la partie du logiciel filtre devant §tre protege 
etant extcutee sur ledit serveur securise. 

Selon une deuxieme forme de realisation de ('invention, le module terminal est un 
dispositif, tel qu'un lecteur dedie de carte k circuit integre, auquel cas ledit dispositif 
personnel de securite est une carte k circuit integre, ou un ordinateur personnel. Ce mode de 
20 realisation se differencie du precedent par le fait que ladite memoire programmable est 
integree dans un microprocesseur securise, ledit logiciel filtre etant execute dans ledit 
microprocesseur securise. Le module terminal dedie peut eventuellement £tre portable. 

Selon les modes d'execution de cette deuxieme forme de realisation de I'invention, la 
memoire programmable pour le chargement et le stockage du logiciel filtre peut £tre 
25 disposee dans le dispositif personnel de securite ou dans le module terminal. 
Dans ce dernier cas : 

- le module terminal peut comporter un seul microprocesseur pour I'execution du 
logiciel filtre et le pilotage des interfaces, ou bien deux microprocesseurs remplissant 
respectivement I'une et Pautre de ces deux fonctions. 
30 - de preference ledit logiciel filtre comprend au moins un parametre secret et lesdits 

deuxiemes moyens de traitement de donnees comprennent des seconds moyens de contrOle 
d'acces conditionnels pour n'autoriser I'execution desdits calculs cryptograph iques, en 
reponse k des commandes elementaires generees par ledit logiciel filtre, que si au moins une 
seconde condition predefinie, fonction dudit parametre secret est remplie 
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Selon d'autres caracteristiques de I'invention, lorsque le module terminal comporte 
deux microprocesseurs pour I'execution du logiciel filtre et le pilotage des interfaces : 

- le terminal comprend un deuxieme canal de communication entre lesdits premiers 
moyens logiciels de pilotage des moyens d'interface et ledit deuxieme microprocesseur et 

5 des deuxtemes moyens de securisation dudit deuxieme canal de communication ; 

- lesdits deuxtemes moyens de securisation comprennent des moyens de chiffrement 
et dechiffrement, par lesdits premiers moyens logiciels de pilotage des moyens d'interface et 
ledit deuxieme microprocesseur, des donnees transmises sur ledit deuxieme canal de 
communication, sur la base d'au moins un cinquteme parametre secret memorise dans 

1 0 lesdits premiers et deuxtemes moyens de traitement de donnees ; 

- lesdits deuxiemes moyens de securisation comprennent des premiers moyens 
physiques de protection dudit deuxieme canal de communication contre les intrusions. 

Differents modes de realisation de I'invention seront maintenant decrits en se referant 
aux dessins annexes, en particulier des modes de realisation dans lesquels le logiciel filtre est 
15 charge et execute dans le terminal de mantere k garantir £ la fois son origine, sa 
confidential ite et son integrity ce logiciel pouvant aussi authentifier I'origine des requites 
qui lui sont envoyees, si la confiance dans les interfaces avec I'utilisateur, c'est-S-dire I'ecran 
et le clavier, ne peut Stre garantie. 

- la Figure 1 est un schema illustrant Parchitecture fonctionnelle d'un systeme pour la 
20 mise en oeuvre de transactions securisees au moyen d ! un terminal selon ('invention ; 

- la Figure 2A presente une premiere forme de realisation de I'invention ou le terminal 
est un ordinateur personnel couple k une carte k circuit integre par un lecteur, ^application 
pouvant etre elle mfime implantee sur I'ordinateur personnel ou sur un serveur distant 

- la Figure 2B decrit I 'architecture fonctionnelle d'une variante d'execution de la 
25 premiere forme de realisation de ^invention, dans laquelle I'ordinateur personnel servant de 

terminal est en liaison avec un serveur de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace k un terminal 
selon une deuxieme forme de realisation de I'invention, qui peut etre un produit dedie relie 
en tant que peripherique k un ordinateur personnel ou directement & un serveur ou bien 

30 construit autour d'un ordinateur personnel ; 

- la Figure 4A est un schema bloc de I 'architecture materielle des circuits 
electroniques d'un premier mode d'execution du terminal de la figure 3 ; 

- la Figure 4B est un schema fonctionnel illustrant une premiere configuration 
d'architecture logicielle du terminal de la figure 4A ; 
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- la Figure 4C est un schema fonctionnel similaire k celui de la figure 4B presentant 
une seconde configuration d'architecture logicielle du terminal de la figure 4A ; 

- la Figure 5 est un schema bloc de I'architecture materielle des circuits electroniques 
d'un deuxidme mode d'exEcution du terminal autonome de la figure 3 ; 

5 - la Figure 6 est un schema bloc de I'architecture materielle des circuits electroniques 

d'un troisiSme mode d'ex6cution du terminal autonome de la figure 3 ; 

- la Figure 7 est un schema illustrant Tarchitecture logicielle conventionnelle d'une 
carte k micro-circuit ; 

- la Figure 8A est un schema illustrant I'architecture logicielle d'un systeme de 
10 transaction comprenant le terminal de la figure 4A ; 

- la Figure 8B est un schema illustrant I'architecture logicielle d'un systeme de 
transaction comprenant le terminal de la figure 6 ; 

- la Figure 9 est un diagramme illustrant la mise en oeuvre d'une application de 
commerce Slectronique au moyen d'un systeme selon I'invention ; et 

15 - la Figure 10 est un organigramme illustrant le processus de tetechargement d'un 

programme dans une rrtemoire reprogrammable du module terminal de la figure 4A ou 5, 
ou d'une carte k micro-circuit connectee k celui-ci ; 

En se referant k la figure 1, un systeme de mise en oeuvre de transactions s6curis6es 
comprend un module terminal 1 de lecture d'une carte k circuit integte 31 ou Equivalent. Le 

20 module terminal 1 comprend un filtre F constituS d'un module logiciel traitant des requites de 
haut niveau emises par des foumisseurs de services applicatifs FAp extemes au module terminal 1 
au moyen d'une interface logique F-API, et des interfaces utilisateur telles qu'un Ecran d'affichage 
4 et un clavier 5 penmettant la lecture et ^introduction de donnEes par un utilisateur. II comprend 
Egalement un lecteur ou interface de communication 6 avec une carte k micro-circuit ou tout 

25 dispositif de s^curite equivalent personnel k I'utilisateur, du type jeton (token), "JavaRing" 
(produit de la soctete SUN), * iButton * (produit de la soctete Dallas Semiconductor Corporation), 
jeton logiciel (soft token), ainsi que des interfaces de communication avec au moins un 
foumisseur de services applicatifs FAp qui peut, par exemple, fitre implante sur un ordinateur 
personnel PC et/ou sur un serveur Sap , I'echange de donnSes s'effectuant alors via un neseau R 

30 de transmissions de donnSes ou de telecommunications. 

Le module terminal 1 peut Stre un terminal dedte ou fitre integte dans un ordinateur 
personnel de type PC, ou bien dans un ordinateur-terminal NC d6dte aux applications en reseau 
(Network Computer) ou encore dans un dgcodeur de teseau de television cable (Set Top Box). 
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Le module terminal 1 peut £ventuellement Stre utilise en mode autonome, par exemple 
pour lire des informations, telles que le contenu d ! un porte-monnaie £lectronique, contenues 
dans une memoirs de la carte 31 . 

Pour la mise en oeuvre de transactions s6curis6es, le module terminal 1 peut Stre 
5 utilise en mode connect^ avec un serveur Sap ou en mode non connects, 1'application FAp 
6tant alors ex£cutee localement, par exemple sur I'ordinateur personnel PC : Tel est le cas, 
par exemple, lorsqu'un utilisateur doit signer un courrier electronique ou des transactions 
qui seront envoy£es k un destinataire. Une telle operation n'implique pas de connexion avec 
un serveur applicatif au moment oCi la carte 31 est utilis6e. 

1 0 En mode connect^, comme represents & la figure 3 dans le cas d'un module terminal 1 

dedie, celui-ci peut etre connecte au serveur Sap sur lequel est implante Implication FAp 
par 1 1 intermedial re de I'ordinateur PC et d ! un reseau R tel qu'lnternet, ou par I' intermediate 
du reseau teiephonique R via un modem MO ou une liaison DTMF avec un combine 
teiephonique CT. Certaines transactions, telles que le rechargement d'un porte-monnaie 

15 electronique dans la carte 31, peuvent necessiter un ^change bidirectionnel de donn£es 
avec le serveur Sap et sont, par consequent, plus ergonomiques en mode connects. 

La mise en oeuvre d'une transaction s6curis6e avec un module terminal 1 et une carte 31 
implique que des requites logicielles de haut niveau (par exemple des requites de signature, 
d'authentification , etc... qui doivent etre traitees de maniere k satisfaire les objectifs de securite 

20 requis du programme applicatif) soient transmises du programme applicatif implante par 
exemple dans le serveur Sap (mode connect^) ou dans Pordinateur personnel PC ou NC a la 
disposition de I'utilisateur (mode non connects, par exemple signature de courrier 
electronique), au filtre F assurant le pilotage des moyens de securite. Ce filtre F effectue le 
traitement de ces requfites au moyen d'un logiciel de traduction, s'assurant ainsi que 

25 I'application ou tout autre logiciel de type virus ne peuvent avoir un acc£s direct aux fonctions 
cryptographiques de la carte h circuit integre 31. Le traitement des requites de haut niveau 
comprend la traduction de ces requfites en une commande elementaire ou une sequence de 
commandes elementaires qui sont ex6cutees par le dispositif personnel de securite. Les 
requites de haut niveau sont formulees independamment de la configuration materielle et/ou 

30 logicielle du dispositif personnel de securite, c'est-ci<lire qu'elles ne sont pas formulas 
directement en fonction du dispositif personnel de security. 

Les requ&es de haut niveau contiennent des informations qui sont liees specifiquement 
au processus qui sera execute par le logiciel filtre. Selon un exemple simple, une requete de 
haut niveau peut comprendre une commande elementaire unique & transmettre au dispositif 

35 personnel de security, par exemple un APDU ("Application Protocol Data Unit"), dans le cas 
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d'une carte k microcircuit, attache k un code MAC d'authentification de message qui permettra 
au logiciel filtre F de verifier I'origine et 1'integrite de cette requite avant d'envoyer la 
commande elementaire au dispositif personnel de securite. Selon un exemple plus complexe, 
tel qu'une requite de signature d'un document, la requite de haut niveau sera transform^ par 
5 le filtre F en une sequence de commandes eiementaires envoyees au dispositif personnel de 
securite et eventuellement k I'interface utilisateur. Ainsi, selon cette definition et du fait qu'elles 
contiennent des informations specifiques devant etre decodees par le filtre F independamment 
du dispositif personnel de securite, les requites de haut niveau sont dites etre independantes 
du dispositif personnel de securite. 
10 Le filtre F repond aux objectifs de securite recherches dans la mesure ou le logiciel de 

traduction qu'il comporte vSrifie I'identite de I'application emettant les requites de services 
(ou directement I'origine des requStes) et est implants de manure k garantir I'integrite et la 
confidential ite des operations et donnees eiementaires mises en oeuvre pour repondre aux 
requites de services. 

1 5 Un logiciel de traduction est un logiciel configure pour un type de carte k micro-circuit 

et traduit une requfite de haut niveau re?ue d'un logiciel duplication en une commande 
elementaire ou une sequence de commandes elementaires executables par les cartes k 
micro-circuit et/ou une sequence d'echanges de donnees avec I'utilisateur. 

Les requetes de haut niveau sont une liste de commandes utilisees par les programmes 

20 applicatifs pour faire appel aux services de securite necessaires pour identifier et authentifier la 
personne realisant la transaction et garantir I'origine, I'integrite et eventuellement la non- 
repudiation de la transaction. Une requ&e de haut niveau provenant d'une application (se 
trouvant sur un serveur ou sur I'ordinateur personnel PC ou NQ peut etre caracterisee par un 
ou plusieurs des points suivants : 

25 - elle est independante des moyens de base (moyens cryptograph iques par exemple) 

mis en oeuvre pour satisfaire k sa demande et contient des informations specifiques devant 
etre traitees par le filtre F. Reciproquement, plusieurs applications peuvent utiliser le mgme 
fournisseur de services de securite, faisant alors appel k la mfime interface logique F-API 
definissant ces requetes. 

30 - le traitement de la requSte permet de lier la transaction de maniere certaine k 

I'utilisateur effectuant la transaction k I'aide d'au moins un parametre secret, fixe ou variable, 
stocke dans la carte k circuit integre de I'utilisateur. 

- elle comporte eventuellement une information ou des informations permettant au 
logiciel filtre F de verifier son origine et son integrite. L'authentification peut se faire k I'aide 


WO 99/62037 PCT/FR99/01202 

15 

d'un code de type * Message Authentication Code ou MAC " ou bien de type " signature 
£lectronique * associe k la requite. 

- dans le cas 0C1 la transaction n'est pas saisie par I'utilisateur sur le module terminal 
lui-meme, la requfite contient 6ventuellement ('information n£cessaire pour permettre k 
5 I'utilisateur de verifier, s'il le souhaite et si le module terminal supporte cette option, les 
donnSes essentielles de la transaction. 

interface logique F-API permettant l'6change des requgtes de sScurite de haut niveau 
entre les applications et le logiciel de traduction du filtre F peut Stre standardise de manure k 
Stre commune k differents programmes applicatifs. Ainsi, la requite de type " Signature * peut 
10 etre utilis£e par une messagerie electronique ou par un logiciel d'achat. II est ainsi possible de 
changer I'application tout en conservant le fournisseur de services de s£curit§ ou 
r&riproquement de remplacer le fournisseur de services de sScurite sans modifier I'application. 

Afin de garantir ('integrity de la chaine de confiance entre I'application et la carte, le 
logiciel filtre F de traduction identifie, voire authentifie I'origine et I'integrite des requ&es 
15 qu'il refoit Differentes m&hodes peuvent etre envisagees pour identifier I'application 
6mettant les requ&tes : 

- un code d'identification peut Stre integr£ dans la requ&te elle- m§me puis v£rifi£ par le 
logiciel filtre k partir des informations qu'il contient ou qui peuvent fitre stockees dans la 
carte k circuit int£gr£ ; 

20 - le m£me but peut 6tre atteint en comparant le r6sultat d'une operation de hachage 
execute par le logiciel filtre sur le logiciel applicatif 6mettant la requite avec un r£sultat 
pr£alablement stocks dans la carte par exemple. Cette derntere solution est particuli^rement 
adaptee au cas oti I'application est implantee sur le PC de I'utilisateur ; 

- ('authentication peut 6galement §tre n6alis£e en associant k la requfite un code de type 
25 "MAC calculi k partir du contenu de la requite et d'une cl6 secrete partag£e entre 

I'application et le logiciel filtre. Un principe Equivalent peut fitre utilise avec une signature de la 
requite calcutee avec les m&mes informations et une cl6 priv^e connue de I'application, la 
signature &ant vErifiee avec la cl6 publique correspondante connue du logiciel filtre. 

La figure 2A d£crit une premiere forme de realisation pour laquelle le module terminal 

30 1 est un ordinateur personnel PC 102, la liaison avec la carte k circuit integrS 31 s'effectuant 
au moyen d'un lecteur 6 connecte ou integrE k I'ordinateur PC 102. L'ordinateur personnel 
102 comprend des interfaces d'entr£e/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements d'interface avec I'utilisateur peuvent Stre le 
clavier et l'6cran du PC lui-mfime, ou bien un clavier et/ou un afficheur de type LCD par 

35 exemple implante sur le lecteur. Dans ce mode de realisation, le filtre F est implant^ et 
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execute sur I'ordinateur PC 102. Le filtre F, et done le logiciel de traduction qu'il contient, 
peut alors Stre stocks sur le disque dur HD 102b de I'ordinateur personnel 102. Pour fitre 
execute par I'unite de calcul ou microprocesseur 102c du PC, le logiciel filtre est ensuite 
charge dans la memoire vive RAM 102d de I'ordinateur personnel 102. 
5 Le disque dur d'un ordinateur PC etant difficile k proteger, le logiciel filtre F, ou tout 

au moins la partie sensible de ce logiciel, peut fitre chiffre. Pour cela il peut etre decompose 
en au moins 2 modules : un module de chargement/dechiffrement Fed et un deuxieme 
module correspondant au logiciel filtre lui-mfime chiffre, Fchi. Le premier module permet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, puis le lancement 

10 de son execution. En se rSferant k la Figure 2A, le module logiciel dechiffre et charge en 
RAM est nomme Fdec. 

L'utilisation d'un langage de programmation tel que Java, par des m£canismes de 
securite intrinsfeques au langage lui-mfime, permet de renforcer la protection du logiciel 

Une autre methode de verification de I'integrite du logiciel filtre est de faire signer le 

1 5 deuxieme module par une autorite garante du contenu du logiciel filtre au moyen d'une cle priv^e 
conservee secrete par cette autorite. Le premier module de chargement effectue alors, 
simultan&nent k I'operation de dechiffrement, une operation de hachage sur le deuxfeme module et 
verifie la signature de ce module au moyen de la cle publique associee k la cle privSe de Tautorite. 
L 'ensemble des operations decrites dans les paragraphes precedents implique 

20 ^utilisation de cl£s sur lesquelles reposent la securite de I'application. Ces cl6s peuvent etre 
cachees dans le module de chargement, stockees dans le lecteur 6, ou bien stockees dans la 
carte k circuit integre 31 elle-mSme. Un autre mode de realisation possible consiste k 
implanter le module de dechiffrement et de verification d'integrite dans le lecteur 6. 

L'objet de ^invention est de s'assurer qu'un pirate ne puisse pas utiliser la carte k 

25 circuit integre d'un utilisateur k son insu, par exemple en modifiant le logiciel filtre pilotant 
la carte ou le logiciel application, ou bien en implantant un logiciel virus qui court- 
circuiterait I'application ou le logiciel filtre mis en place. Le mode de realisation decrit 
precedemment et ses variantes repondent k ces risques, en permettant la verification: 
- de I'integrite du logiciel filtre et 

30 - de I'origine et de I'integrite des commandes envoyees k la carte k travers le lecteur 6, en 

les authentifiant k I'aide d'un code de type MAC par exemple. La verification du MAC peut etre 
effectuee par le lecteur 6 ou la carte 31. Une protection equivalente pourrait etre obtenue en 
chiffrant le dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant k court- 
circuiter le logiciel filtre enverrait done des commandes non authentifiees ou incorrectement 

35 chiffrees au lecteur 6 ou k la carte 31 ; en consequence ces commandes seraient rejetees par le 
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lecteur ou la carte, emp§chant le virus d'arriver k ses fins. Afin qu'un fraudeur ne puisse 
determiner les des utilises sur un terminal en analysant le fonctionnement d'un autre terminal, 
les des utilises par divers terminaux devront etre diversifies. 

Les mecanismes de chiffrement et de signature qui peuvent etre envisages pour repondre 
5 au besoin de protection du logiciel filtre sont bien connus des hommes de I'art et reposent sur 
les techniques cryptograph iques existantes exposes, par exemple, dans I'ouvrage de Bruce 
Schneier intitule "Applied Cryptography, Protocols, Algorithms, and Source Code in C public 
chez John Wiley and Sons, Inc., 1994, et qui ne seront done pas decrits en detail ici. 

L'implantation du logiciel filtre dans un ordinateur personnel PC ne permet pas de 

10 garantir le m6me degre de securite qu'une implantation dans un terminal dedie pouvant 
offrir des mecanismes de securite materiels supplementaires comme decrit dans les autres 
formes de realisation presentees ulterieurement, ces mecanismes procurant une protection 
physique au logiciel filtre et aux secrets qu'il contient. 

Une variante d'execution du mode de realisation de la figure 2A est pr^sente k la 

15 figure 2B. Cette variante met k profit la souplesse et la facility de connexion d'un ordinateur 
personnel k un r£seau. Cette connexion permet en effet le deport d'une partie du logiciel 
filtre, et en particulier des secrets, dans un serveur securise Ssec. 

Dans le cas de la Figure 2B, le logiciel filtre est decompose en deux modules logiciels, 
un module F-PC implants sur I'ordinateur personnel PC 102 et un module F-SE implants sur 

20 un serveur de securite Ssec! La memoire programmable k laquelle il est reference 
precedemment et stockant le logiciel filtre, est done dans cette variante d'execution 
implantee dans le serveur securise Ssec, c'est-&-dire hors d'atteinte d'utilisateurs non 
autorises. De mgme, le logiciel filtre, ou tout au moins la partie sensible du logiciel filtre F-SE 
requerant une protection, est execute sur le serveur securise Ssec. 

25 Le module logiciel F-PC implante sur I'ordinateur personnel PC 102 est relie par un 

canal securise CS au serveur de securite Ssec. Ce canal securise est en fait un canal de 
communication chiffr6 permettant un echange de donnees protege entre les deux modules 
logiciels filtre F-PC et F-SE et eventuellement une authentication reciproque des deux 
modules F-PC et F-SE. Ce canal securise peut, par exemple, reposer sur des protocoles de 

30 communication bien connus tels que SSL. 

L'etablissement de ce canal securise CS permet done au premier module logiciel filtre F-PC 
de transmettre au deuxteme module logiciel filtre F-SE, les requfites revues de I'application FAp k 
travers I'interface logique F-API, ainsi que les informations liees k Identification de I'application 
emettant ces requfites. Ce deuxifeme module logiciel F-SE va ensuite, aprfes avoir verifie les 

35 informations relatives k I'application et, en fonction de I'application et eventuellement des 
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droits de I'utilisateur, traduire ces requites en une suite de commandes destinies a la carte k puce 
3 1 et au pilotage des ^changes de donn£es avec I'utilisateur. Ces commandes ct^es par le module 
F-SE sont ensuite envoy<§es au premier module F-PC qui les aiguille vers lament concern^ : le 
PC lui m&me pour ce qui conceme les commandes de pilotage des ^changes avec I'utilisateur ou 
5 bien la carte k circuit integre. Pour que les commandes de pilotage des ^changes avec I'utilisateur 
puissent fitre ex£cutees sur le PC, le PC devra comporter un module logiciel I, dit interpr£teur. Ce 
logiciel interpr&eur permet I'affichage de messages sur I'taan 4 et la saisie d'information par 
I'utilisateur sur le clavier 5. Ce module logiciel interpr&eur sera plus pr6cis£ment decrit en regard 
des figures 4B et 4C 

10 Ce second mode d'execution est bas£ sur les m£canismes decrits k propos du premier 

mode d'execution de la figure 2A en ce qui concerne I 'identification de I'application 
(hachage ou signature par exemple) et la protection des commandes envoy£es k la carte 
(ajout d'un code de type authentication de message MAC, par exemple). II offre par contre 
un degr£ de security sup£rieur dans la mesure ou le module logiciel filtre F-SE assurant la 

15 traduction des requites de haut niveau re?ues de I'application Fap est execute dans un 
environnement s£curis£. Dans le contexte de I'invention, le serveur Ssec est dit s£curis6 s'it 
n'est pas accessible physiquement ainsi que logiquement, c'est dire k travers une connexion 
r£seau, k des personnes non autori$6es. 

Ce second mode d'execution de la figure 2B est bien adapts k des applications mises en 

20 oeuvre dans un environnement ferme ou privatif contrdie par une autorite centrale, car elle 
necessite un serveur protege dont I'administration doit 6tre centralis6e. Ce second mode 
d'execution offre de plus la possibility de definir une politique d'accSs centralist aux services 
cryptographiques offerts par la carte k circuit integre. Cette politique d'acc^s peut fitre bas6e sur 
les applications requ£rant les services de la carte et sur les utilisateurs eux mfimes. Elle permet, par 

25 exemple, dans la cas d'une entreprise ayant distribue k ses employes ou k ses clients des cartes k 
circuit integre leur permettant de signer des courriers electroniques ainsi que des transactions 
bancaires, de s'assurer que seuls les utilisateurs autoris£s pourront signer : ce mecanisme peut 6tre 
mis en oeuvre gr&ce au canal securise CS. A chaque requfite de signature emise par une des 
applications consider comme valide par I'entreprise (la messagerie electronique et le logiciel de 

30 transactions bancaires), le module logiciel F-SE effeduera une demande d'authentification de 
I'utilisateur. Cette demande peut, par exemple, etre effectuee en envoyant un nombre aleatoire, 
challenge ou defi via le canal securise CS k la carte 31. Apr£s saisie par I'utilisateur de son code 
confidentiel, la carte k circuit integre calculera un mot de passe dynamique en chiffrant le defi k 
I'aide d'une de secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal CS au 

35 module logiciel F-SE. Le module logiciel F-SE, connaissant I'utilisateur et done la cie secrete 
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contenue dans sa carte, comparera le mot de passe re$u au mot de passe attendu. Ce m&ranisme 
connu sous le nom d'authentification en mode challenge - r^ponse permet au module logiciel F- 
SE de valider I'identite de I'utilisateur. Ceci permet done k I'entreprise ayant remis les cartes k 
circuit integre aux utilisateurs de s'assurer que seuls les utilisateurs encore autorises peuvent par 
5 exemple signer des transactions bancaires. 

Le serveur Ssec, grace aux moyens s6curis6s et centralises qu'il represente, permet non 
seulement une implantation s6curis6e du logiciel filtre F-SE mais aussi la possibility de mettre en 
place une politique centralist de contrfile de I'utilisation des services de security offerts par la 
carte k circuit integre. Le serveur Ssec permet la mise en place d'une politique centralize du fait 

1 0 qu'un mSme serveur peut etre en liaison avec une plurality des modules logiciels F-PC implantes 
sur les ordinateurs personnels d'une pluralite d'utilisateurs. Le serveur Ssec permet ainsi la 
definition et le contr6le centralists des conditions d'utilisation des services de securite offerts par 
les cartes remises aux differents utilisateurs, en fonction du profit de ^application requerant les 
services et des droits desdits utilisateurs. La mise en place de cette politique centralisee implique 

1 5 done de stacker dans le serveur les informations necessaires, e'est-idire les droits des utilisateurs 
d'utiliser tel service de s6curite en liaison avec telle application. 

Ce second mode d'execution de la figure 2B, bien adapts aux environnements prives, 
est par contre difficilement applicable k des applications ouvertes pour lesquelles la mise en 
place d'un serveur central securise Ssec n'est pas envisageable. 

20 La Figure 3 illustre un module terminal reprenant des principes d'architecture 

fonctionnelle similaires k ceux de la Figure 2B dans une forme de realisation differente, ne 
necessitant pas de serveur centralist. Le module terminal selon la deuxteme forme de 
realisation de la Figure 3 presente un tr£s haut degre de securite, lui permettant ainsi 
d'assurer directement la protection locale du logiciel filtre F. 

25 Dans le cas de la figure 3, le module terminal 1 se presente sous la forme d'un boTtier, 

portable ou non, dont une face porte I'ecran d'affichage 4 et le clavier 5 et dans lequel sont 
implantts des circuits electroniques, de preference de manure telle que ceux-ci soient 
inaccessibles depuis Pexterieur. Le boTtier 1 contient le lecteur 6 et presente une ouverture 
de reception de la carte k micro-circuit 31 dans le lecteur 6. Le mode d'execution decrit en 

30 reference aux Figures 3, 4A, 4B et 4C ne doit pas etre consider comme se limitant k un 
terminal dedie. La description qui suit peut tout k fait fitre appliquee k un terminal construit 
autour d'un ordinateur personnel de type PC ou NC. 

Selon un premier mode d'execution, illustre k la figure 4A, de cette deuxieme forme 
de realisation du module terminal de la figure 3, les circuits electroniques du module 

35 terminal 1 sont organises autour d'un microcontrdleur standard 2 et d'un microprocesseur 3 
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s6curis6, qui sont connects entre eux par une liaison et implants de mantere permanente 
dans le boitier du module 1 . En variante, le microprocesseur 3 peut 6tre enfichable sur le 
module 1 au moyen d'un connecteur 41 repr&ente en traits interrompus a la figure 4A. II est 
d^crit ici un mode d'ex^cution g6n6rique bas6 sur un microcontrdleur standard. Dans un 
5 mode d'execution particulier qui sera d6crit ulterieurement, le microcontrdleur 2 peut en fait 
6tre un PC 102 du type de celui prSsente dans la Figure 2B. 

Le microcontrdleur standard 2 comprend une unite de traitement 2a, de la m^moire 
temporaire (RAM) 2b, et de la rrtemoire permanente (ROM) 2c. II s'agit de preference d'un 
microprocesseur "monochip" dont le programme est masquS dans la mgmoire permanente 2c 

10 et qui integre dans un mgme circuit integr6 des moyens de gestion ou pilotage d'interfaces 
standards, I'unite de traitement 2a et les rrtemoires temporaire 2b et permanente 2c. 

Les interfaces ou p6riph6riques gorges par le microcontrdleur 2 comprennent notamment 
I'dcran 4 d'affichage de donnees, par exemple k cristaux liquides, le clavier 5 pour Introduction 
de donnees par un utilisateur, le lecteur 6 de carte k micro-circuit, une interface 7 de liaison 

1 5 exteme, par exemple du type RS 232 ou PCM-CIA, une interface 8 de liaison par infrarouge, et un 
dispositif DTMF 9 pour la transmission de donnees sur une ligne tetephonique. 

Les composants du module 1 comprennent dgalement une horloge 10 et une source 
1 1 d'alimentation 6lectrique des differents circuits et composants du module 1. La source 1 1 
d'alimentation Slectrique peut 6tre constitute par des piles ou une batterie si le module 1 est 

20 portable et autonome. 

La tache du microcontrdleur standard 2 est de gdrer I'environnement, c'est&dine de piloter 
les interfaces 4-9 et I'horloge 10, ainsi que la source d'alimentation 1 1 pour alimenter s&ectivement 
le microprocesseur s6curis6 3 en 6nergie 6lectrique dans le cas d'un module 1 autonome. 

Le microcontrdleur standard 2 ntcessite ainsi peu de puissance de calcul, peu de 

25 nrtemoire temporaire (RAM) et pas de rrtemoire semi-permanente (EPROM ou EEPROM). Le 
microcontrdleur 2 est protege en Scriture du fait que ses programmes (pilotage d'interfaces 
et, comme d£crit dans la suite, interpr&eur, gestion des horloges et de ('alimentation 
electrique, etc..) sont masques en nrtemoire permanente 2c. Comme cela apparaTtra dans la 
suite, le microcontrdleur standard 2 peut Sgalement contenir un ou plusieurs paramdtres 

30 secrets, sur la base desquels il peut 6tre authentifte par le microprocesseur s6curis6 du 
module terminal et/ou d'une carte k circuit integre. Ces secrets doivent done 6tre proteges en 
lecture et en tcriture. lis seront de preference stockSs dans la nrtemoire temporaire (RAM) 
d'un microprocesseur "mono chip 1 ', qui n'est accessible ni en 6criture, ni en gcriture depuis 
I'exterieur. Le microcontrdleur standard 2 peut Sgalement fitre pourvu de fonctions de 
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security compiementaires, par exemple pour interdire des fraudes telles que I'affichage de 
donnees differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontrOleur d'un faible cout et ayant une faible 
consommation electrique, qui est particulterement adapts k un produit portable. Ce 
5 microcontrdleur peut fitre par exemple du type MSM 631 80 de la Society OKI. 

De preference, deux horloges sont prevues en 10 : une horloge a frequence basse 10a, 
par exemple de frequence 32,368 KHz et une horloge k frequence elevee 10b, pouvant aller 
de 1 MHz £ 12 MHz par exemple Le microcontr6leur 2 commande la connexion de son 
horloge systeme sur Tune ou I'autre de ces deux horloges. 

10 L'horloge lente 10a cadence un dispositif de temporisation 2d du microcontrdleur 2 

avec une periode de 0,5 s pour realiser une horloge temps reel dans le module 1. L'unite de 
traitement 2a peut egalement fonctionner k I'aide de l'horloge lente 10a pour les fonctions 
ne necessitant pas de vitesse de calcul : dans ce cas l'horloge systeme du microcontrOleur 2 
est connectee sur l'horloge lente 10a et l'horloge rapide 10b est arr&ee. Ce mode de 

15 fonctionnement permet de limiter la consommation electrique du module 1, ce qui est 
avantageux si celui-ci est portable et alimente par une pile electrique. 

Le microprocesseur 3 securise en lecture et en ecriture comprend une unite centrale 
3a et des memoires temporaire (RAM) 3b et permanente (ROM) 3c, ainsi qu'une memoire 
semi-permanente reprogrammable electriquement (EEPROM ou Flash RAM par exemple) 3d 

20 pour le stockage, entre autres, des programmes duplication du module 1 . 

Ce microprocesseur securise 3 est du type de ceux utilises dans les cartes a micro- 
circuit et il presente un nombre limite d'entrees et de sortie, ses bus internes etant 
inaccessibles depuis Pexterieur. De par sa fabrication, il integre d'autres mecahismes de 
securite propres k ce type de microprocesseur et bien connus des specialistes de la 

25 technique, tels que matrice de securite, brouillage de memoire, contrdle de la frequence 
d ! horloge, contrdle de la remise k zero (RESET), etc... 

Grace au fait que le microprocesseur 3 possede une memoire semi-permanente 3d, il 
est possible d'y charger depuis I'exterieur, par exemple k partir d'un serveur ou d'une carte h 
micro-circuit, un ou des programmes d'application. II est ainsi possible, en fonction des 

30 besoins, de faire evoluer la ou les applications (contrdle d'acc^s, transaction financiers et/ou 
commerciales, porte-monnaie electronique, etc..) auxquelles est destine le module 1. II est 
egalement possible, si la taille de la memoire semi-permanente 3d le permet, d'y implanter 
de nouvelles applications au cours de son utilisation. 

Selon la version choisie, le microprocesseur securise 3 peut assurer le calcul de 

35 fonctions cryptograph iques requerant des calculs importants mis en oeuvre dans les 
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algorithmes asymetriques de type RSA ou DSA, ou bien mettre en oeuvre des algorithmes 
plus simples, parexemple du type DES. 

Le microprocesseur s^curise 3 peut etre, par exemple : 

- un microprocesseur SIEMENS SLE44C160S, non cryptographique, dote de 14 Ko de 
5 memoire ROM et de 1 6 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST1 6CF54A cryptographique dote de 1 6 Ko de 
memoire ROM, de 4Ko de memoire EEPROM et de 480 octets de memoire RAM ; 

- un microprocesseur PHILIPPS P83C858 cryptographique dote de 20 Ko de memoire 
ROM et de 8 Ko de memoire EEPROM. 

10 Le microprocesseur s^curisS 3 est connecte, d'une part par la liaison 12 au 

microcontraleur standard 2, d'autre part par des liaisons 1 3 et 14 & I' interface externe 7 et au 
lecteur 6 de carte & micro-circuit par I* intermedial re de commutateurs-adaptateurs d'interface 
15 et 16 respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes par le 
microcontrfileur standard 2 via des liaisons 17 et 18 respectivement. 

15 Le microcontrdleur standard 2 comprend un programme d'interpretation ou 

interpreter 20 (Fig. 4B et 4C) stocks dans la memoire ROM 2c et permettant k celui-ci 
d'executer des commandes g6n6r6es par le logiciel de traduction des requites de haut 
niveau faisant partie du ou des programmes d'application, comme cela sera decrit dans la 
suite. Cet interpreter 20 permet ainsi au(x) programme(s) d'application stocke(s) dans le 

20 microprocesseur securis6 3 de piloter les interfaces 4-9 via la liaison 12. Cependant, le ou les 
programmes d'application peuvent fitre localises et executes ailleurs que dans le 
microprocesseur 3 s6curise en lecture et en Venture, par exemple dans une carte a micro- 
circuit 31 insetee dans I'interface 6, telle qu'une carte adaptee pour supporter des 
ntecanismes de telechargement et d'execution des applications comme decrit dans la norme 

25 NF EN 726-3 intitule "Cartes & circuit integte et terminaux pour les telecommunications. 
Partie 3 : Specifications de la carte independantes des applications". 

Les programmes d'application peuvent en outre, en fonction des regies de securite 
auxquelles ils sont soumis, Stre distribues entre ces difterentes localisations. 

Le schema fonctionnel de la figure 4B illustre une premiere configuration 

30 d'architecture logicielle du module 1 de la figure 4A dans laquelle Pensemble des 

programmes d'application A1, A2, An et des fonctions de securite (calcul de condense, 

algorithmes cryptographiques symetriques tels que DES, triple DES, ou asymetriques tels que 
proposes par RSA) est mis en oeuvre dans le microprocesseur securise 3. 

Les applications nominees ci-dessus et dans la suite de la description A1, A2, An 

35 comprennent au minimum les filtres F1, F2, Fn, et done en particulier les logiciels de 
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traduction des requites 6mises par le ou les fournisseurs de services applicatifs FAp faisant 
partie de I'application principale 54 (Figure 8A). 

Le microcontrdleur standard 2 g6re I'environnement au moyen de differents 
programmes de gestion ou gestionnaires d'interface a savoir : 


- un gestionnaire 27 de I'interface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans I'hypothSse ou le module 1 comporte une 
ou des interfaces autres que eel les representees & la figure 2. 

Ainsi, le microprocesseur s6curis6 3 peut piloter les interfaces au moyen de 

15 commandes qui sont interpr&6es par I'interpr&eur 20 et ex6cut6es par le microcontrdleur 
standard 2 grace aux gestionnaires 21-28. 

La figure 4C illustre une seconde configuration logicielle du module 1 de la figure 4A 
dans laquelle une ou plusieurs applications Ax et une ou plusieurs fonctions 
cryptograph iques Sx sont stockees dans une memoire reprogrammable 30a d'un 

20 microprocesseur securis6 30 d*une carte £ micro-circuit 31 . Lorsque la carte 31 est introduite 
dans le lecteur 6, le microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autres applications et fonctions de security peuvent etre 
residentes dans et mises en oeuvre par le microprocesseur s6curis£ 3 du module 1. Cest 
ainsi, par exemple, que le microprocesseur 30 de la carte 31 peut assurer une fonction de 

25 signature electronique dans l'hypoth£se od le microprocesseur securis6 3 n'integre pas un 
processeur de calcul d6di£ (cryptoprocesseur). Reciproquement, si le microprocesseur 
s£curise 3 integre un cryptoprocesseur, il est 6galement possible qu'une application pr&ente 
dans la carte k micro-circuit 31 fasse appel & des commandes cryptographiques du module 
1, commandes qui seront ex£cut£es par le microprocesseur securis^ 3. 

30 Dans cette seconde configuration, qui pour le reste est identique k celle de la figure 4B, 

Pinterpr&eur 20 joue vis-a-vis du microprocesseur 30 le mSme rfile que celui qu'il remplit vis- 
a-vis du microprocesseur sScurise 3. Le module 1 peut ainsi executer des applications 
differentes selon ie type de carte 31 k micro-circuit introduit dans le lecteur 6, par exemple : 


10 


5 


- un gestionnaire 21 du lecteur ou interface 6 de carte a micro-circuit; 

- un gestionnaire 22 de ('interface 7 de liaison s6rie ; 

- un gestionnaire 23 du clavier 5 ; 

- un gestionnaire 24 de Interface 8 de liaison par infrarouge ; 

- un gestionnaire 25 de I'afficheur 4 ; 

- un gestionnaire 26 de I'horloge 10 et de la source d'alimentation 11; 
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- une authentication de I'utilisateur dans le cadre d'une transaction bancaire 
(consultation de compte, virement de fonds, etc..) effective via une ligne tetephonique au 
moyen de ('interface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie electronique, ou le rechargement de 
5 ce porte-monnaie, k partir du module 1, lorsqu'une carte k micro-circuit 31 remplissant la 

fonction de porte-monnaie est introduite dans le lecteur 6. En outre, le module 1 permet de 
gerer plusieurs cartes porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
specifique k une collectivity par exemple ; 

- lecture d'un dossier medical sur une carte medicale ; 

10 - lecture de points de fidelity sur une carte dans laquelle des points de fideiite sont 

attribues k un consommateur en fonction d'achats effectues, de sa participation £ des 
operations de fideiisation de clientele, etc... 

Le mode d'ex&rution decrit ci-dessus k la Figure 4A ainsi que les configurations 
logicielles presentees dans les Figures 4B et 4C s'appliquent, de maniere analogue, a un 

15 terminal construit autour d'un PC conventionnel equips en outre du microprocesseur 
securise 3. Dans ce mode d'execution, le microcontrdleur 2 correspond au PC 102 tel qu'il 
est presents k la Figure 2A, I'unite de traitement 2a correspond au microprocesseur 102c du 
PC, et les memoires RAM 2b et permanentes 2c correspondent respectivement k la memoire 
RAM 102d et au disque dur 102b. De m6me les entries / sorties 102a du PC correspondent 

20 aux modules d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le microprocesseur 
securise 3 et le PC 102 peut etre une liaison serie ou paraliele, ou bien encore une 
connexion au bus interne du PC, du type PCMCIA, ou une connexion directe sur la carte 
mere du PC. En variante, le microprocesseur securise 3 peut Stre integre de mantere fixe, ou 
amovible via le connecteur 41, au clavier du PC. 

25 Dans ce cas, le module logiciel interpreter 20 ainsi que les modules logiciels de 

gestion des peripheriques 21 k 28 sont implants et executes sur le PC. L'architecture 
fonctionnelle de ce mode d'execution est equivalente k celle presentee k la Figure 2B, le 
module interpr6teur 20 ainsi implants sur le PC assurant le mSme r6le que le module 
interpreter I de la Figure 2B : il execute les commandes de pilotage des ^changes avec 

30 I'utilisateur revues du logiciel filtre F lui-m&me implante de manure securise dans le 
microprocesseur 3 (Figure 48) ou la carte k circuit integre 30 (Figure 4C). 

Le schema de la figure 5 illustre un deuxi£me mode d'execution de la deuxi£me forme 
de realisation de I'invention, dans lequel les circuits electroniques du module terminal 1 sont 
organises autour d'un seul microcontrdleur 29 rempla?ant le microcontroleur 2 et le 

35 microprocesseur 3 et pouvant offrir le mSme type de protection physique et logique que les 
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microprocesseurs corpus pour les cartes k circuit integre. Ce microcontrdleur gfcre I'ensemble 
des moyens d'interfaces 4-9 du module terminal. II comporte une unite de traitement 29a, une 
memoire temporaire (RAM) 29b, une mSmoire permanente (ROM) 29c et une memoire semi- 
permanente (EEPROM) 29d permettant le stockage du logiciel de traduction. L'unite de 
5 traitement 29a correspond k la fois k Punite 2a de traitement de donnSes permettant le pilotage 
des interfaces et k PunitS 3a de traitement permettant Pex^cution du logiciel de traduction. De 
m^me que pr&r&Jemment, le module terminal 1 peut 6tre construit autour d'un ordinateur 
personnel PC 102 auquel serait connects au bus interne un microcontrdleur securise 29 
pilotant ainsi directement P&rran d'affichage 4 et le clavier 5 du PC. 

10 Dans une variante de realisation, la memoire dans laquelle est stock^e le logiciel de 

traduction des requfites de haut niveau, memoire volatile de type RAM avec une alimentation de 
sauvegarde ou semi-permanente (EEPROM ou Flash RAM), peut 6tre externe au microcontrdleur 
29. Dans ce cas, le logiciel de traduction peut §tre chiffte et signe, ou prot6g§ par un code de type 
MAC ("Message Authentication Code") de mani&ne k assurer k la fois son integrite et sa 

1 5 confidentiality. Le logiciel est lu par le microcontrdleur 29, d6chiffr6 puis execute. 

Selon un troisifeme mode d'ex&rution, represent^ k la figure 6, de la deuxi&me forme 
de realisation de Pinvention, le module terminal 101 est d^pourvu de microprocesseur 
s6curis£ 3. Sur cette figure 6, les memes num^ros de reference qu'£ la figure 4A ont &6 
conserves pour designer les mfimes elements. Le microcontrdleur 2 pilote ('interface 6 et le 

20 commutateur-adaptateur 15 pour permettre la connexion du microprocesseur securise 130 
d'une carte k micro-circuit programmable 131 pr&ente dans Pinterface 6 avec Pinterface de 
liaison externe 7. Dans ce cas, I'ensemble des applications A et des fonctions 
cryptograph iques C sont m6moris6es dans une memoire semi-permanente 130a (EEPROM 
ou Flash RAM) du microprocesseur s6curis6 130 de la carte k micro-circuit programmable 

25 1 31, et mises en ceuvre par ce dernier comme d^crit k la figure 4C k propos des applications 
Ax et des fonctions cryptograph iques Cx. 

Dans les exemples droits pr6c6demment, dans un but de simplification, le 
microprocesseur 30, 130 de la carte k circuit int6gr6 ainsi que le microprocesseur securise 3 
£ventuellement implants dans le module terminal comporte un seul port de communication. 

30 Ceci implique que dans ces exemples, les ^changes entre les differentes entites, k savoir Punite 
£lectronique 154 (figure 8) contenant Papplication principale, le microprocesseur s£curis6 3 et 
le microprocesseur 30, 130 de la carte circuit int6gr6 se font k travers le microcontrdleur 2 ou 
29 du module terminal. Ces descriptions ne doivent pas fitre considers comme limitatives : 
d'autres mises en oeuvre peuvent fitre envisages dans le cadre de la pr&ente invention. En 

35 effet, les microprocesseurs s6curis6s de carte k circuit integre actuellement disponibles, 
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utilisables pour la carte elle mSme (microprocesseur 30, 130) ou dans le module terminal 
(microprocesseur 3), peuvent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done ais6ment envisageables avec ce 
type de microprocesseur. Dans le cas de la figure 4C, par exemple, un des ports de la carte k 
5 circuit integre 31 peut 6tre dedte au pilotage de ('interface utilisateur et done relie au 
microcontrdleur 2, I'autre port 6tant relte k I'unite Slectronique comportant I'application 
principale moyennant une adaptation d'interface approprtee. 

Suivant une caractSristique importante de I'invention, un logiciel filtre est implante 
dans la m^moire reprogrammable EEPROM assoctee au microprocesseur s6curis6 3 ou 29 
10 du module terminal 1 et/ou au microprocesseur securise 30, 130 de la carte 31, 131. Ce 
logiciel filtre traduit de manure connue les requites de haut niveau en provenance du 
serveur Sap ou de Pordinateur personnel PC en sequences de commandes 6l6mentaires 
executables par ces microprocesseurs (commandes qui sont notamment definies par la partie 
4 de la norme ISO 7816-4). En outre, suivant I'invention, ce logiciel filtre traduit ces requetes 
15 de haut niveau en sequences d'6changes de donnSes entre le module terminal 1, 101 et un 
utilisateur via les moyens d'interface tels que I'afficheur 4 et le clavier 5. 

Cette solution offre I'avantage de r&Juire considerablement le d6bit de donnees 
6chang6 entre le module terminal 1, 101 et le serveur Sap ou le PC, mais requiert une 
implantation s6curis6e du logiciel de traduction pour emp§cher que les instructions 
20 envoy6es h la carte k micro-circuit soient modifies. 

Ce logiciel filtre fait partie intSgrante de la partie du logiciel duplication implantee 
dans le module terminal 1 et/ou la carte 31, 131 et il est done dischargeable. 

La figure 7 illustre ('architecture logicielle conventionnelle d'une carte d micro-circuit 
("smart card"). 

25 Les differentes couches de logiciels sont representees par un bloc 43 qui comprend 

une couche logicielle 44 "protocole de communication" permettant de recevoir des 
commandes. Ces commandes sont d6cod6es par une couche logicielle 45 "Interpretation 
commandes APDU" (APDU : "Application Protocol Data Unit" dont le r6le est d'orienter les 
commandes vers des modules de traitement qui peuvent 6tre : 

30 - un logiciel 46 de services de gestion de fichiers sgcurises ; 

- un logiciel 47 de services cryptographiques ; 

- un ou d'autres logiciels duplication 48 

Les modules de traitement 46, 47, 48 s'appuient sur des services de base offerts par le 
systeme d'exploitation 49 de la carte & micro-circuit. 
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La figure 8A illustre I'architecture logicielle d'un systeme de mise en oeuvre de 
transactions s6curis6es faisant appel k des modules terminaux 1 dotes d'un microprocesseur 
s6curis6 3, confornrtement au mode d'execution de Tinvention de la figure 4A. 

Le bloc 51 dtsigne les logiciels executes par le microprocesseur securis£ 3 du module 
5 terminal 1, le bloc 52 les logiciels executes par le microcontrdleur 2 ou PC 102 du module 
terminal 1, le bloc 53 les logiciels executes par le microprocesseur 30 d'une carte ^ micro- 
circuit 31, et le bloc 54 le logiciel principal d'application, ou Fournisseur de services 
applicatifs, implante dans le serveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c'est-a-dire que le microprocesseur 
1 0 securis£ 3 a une architecture semblable k celle d'une carte a circuit integr£. Le bloc 51 comprend: 

- un logiciel 60 de protocole de communication. 

- un systeme d'exploitation 61 

- un bloc 62 reprtsentant la partie du logiciel duplication implantee dans le module 
terminal 1, cette partie du logiciel duplication etant essentiellement constitute du logiciel 

1 5 filtre ptecite. Differents modules logiciels de ce type correspondant a difterentes applications 
peuvent cohabiter dans le microprocesseur s6curis£ 3. 

- optionnellement, un logiciel 63 permettant d'assurer I'authentification du 
microcontrdleur standard 2 par le microprocesseur s6curis£ 3 et I'authentification du 
microprocesseur s6curis6 3 du module terminal 1 par le microprocesseur 30 de la carte 31, 

20 - un logiciel 64 de gestion de fichier s£curis6, 
• un logiciel 65 de services cryptograph iques. 
Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

- un interprtteur de commandes 71 correspondant au logiciel 20 des figures 4B et 4C ; 
25 - un logiciel d'authentification 72 permettant, en liaison avec le logiciel 63, I'authentification 

du microcontrdleur standard 2 par le microprocesseur s6curisG 3 du module terminal 1 ; 

- des logiciels 73 de gestion des ressources internes du microcontrdleur 2 ; 

- des logiciels 74 de pilotage des interfaces avec I'utilisateur (gestionnaires 23 et 25 de 
I'tcran 4 et du clavier 5) ; 

30 - des logiciels 75 de pilotage des interfaces de communication 7, 8 et 9 (gestionnaires 22, 
24,27); 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans I'exemple dtcrit 
par la figure 8A, de logiciel duplication ou filtre. II comprend : 

- un logiciel 80 de protocole de communication, 

35 - un logiciel 81 d'interptetation de commandes APDU, 
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- un logiciel 82 de services de gestion de fichier s6curis6 (contrdle du PIN par exemple), 

- un logiciel 83 de services cryptograph iques (calculs cryptographiques sym&riques k c\6$ 
secretes ou asym&riques, k cl£s publiques et cl6s privies, etc..) permettant, entre autres, 
d'assurer, en liaison avec le logiciel 63, I'authentification du microprocesseur s6curis6 3 du 

5 module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme d'exploitation 84 du microprocesseur 30 de la carte 31 . 

Le protocole de communication 60, 70, 80 permet de g6rer les ^changes de donnees entre: 

- le microprocesseur 30 de la carte 31 et le microcontr6leur standard 2 ou PC 102 du 
module terminal 1 ; 

10 - le microprocesseur s6curis6 3 et le microcontrdleur 2 du module terminal 1 ; 

- le microprocesseur s6curis6 3 du module terminal 1 et le microprocesseur 30 de la carte 31 . 

La figure 8B est une vue similaire k la figure 8A illustrant Parch itectu re logicielle du 
systeme dans le cas ou le module terminal 101 ne comporte pas le microprocesseur securis6 
3, conformgment au troisteme mode d'ex£cution du deuxteme mode de realisation de 

1 5 ('invention de la figure 6. 

Sur la figure 8B, le bloc 152 d&igne les logiciels executes par le microcontr6leur 2 du 
module terminal 101 , le bloc 153 les logiciels executes par le microprocesseur 130 d'une 
carte k micro-circuit programmable 131, et le bloc 154 le logiciel principal duplication 
implants dans le serveur Sap ou un ordinateur personnel PC. 

20 Le bloc 1 52 comprend les memes logiciels 70, 71 et 73 k 75 que le bloc 52 de la 

figure 8A, et un bloc 76 qui est un logiciel d'authentification du microcontrfileur standard 2 
du module terminal 101 vis-i-vis du microprocesseur 130 de la carte 131 . 

Le bloc 153 relatif au microprocesseur 130 de la carte 131 comprend les logiciels 62 
et 80 k 84 des blocs 51 et 53 de la figure 8A, ainsi qu'un logiciel 77 permettant, en liaison 

25 avec le logiciel 76, d'assurer Pauthentification du microcontrdleur standard 2 du module 
terminal 101 vis-i-vis du microprocesseur 1 30 de la carte 131 . 

A la difference d'un systeme conventionnel, dans le systeme de transaction s6curis6e 
selon I'invention, le logiciel filtre 62 qui traduit les requites de haut niveau de ^application 
en commandes Sfementaires exgcutables par une carte k micro-circuit est implant^ dans 

30 I'environnement utilisateur s6curis6, c'est-A-dire soit dans le module terminal 1 (pour les 

applications A1, A2 An des modes d'ex&rution des figures 4A-4C et 5), soit dans une carte 

31, 131 k m6moire semi-permanente utilisable avec le module terminal 1, 101 (pour les 
applications Ax du mode de realisation de la figure 4C et pour toutes les applications du 
mode de realisation de la figure 6). 
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Outre sa fonction de gestion d'une carte a micro-circuit, ce logiciel filtre 62 g£re les 
interactions avec I'utilisateur, c'est-&-dire les sequences d'6change de donnees entre un 
utilisateur et le module terminal qui sont requises dans le cadre d'une application, ^changes 
qui ont lieu par I'intenrtediaire des moyens d'interface, a savoir I'ecran 4 et le clavier 5. II est 
5 a noter que I'invention n'est pas limine a ('utilisation d'un ecran et d'un clavier comme 
interfaces avec I'utilisateur et que tout autre type d'interface, par exemple vocale, pr6sentant 
I'ergonomie requise, pourrait convenir, 

Grace a Pimplantation s6curis6e du logiciel filtre 62 dans le microprocesseur securis£ 
3 ou 29 du module terminal 1 ou le microprocesseur 30, 130 de la carte a micro-circuit 31, 
10 131, la security des transactions est assume. En effet, les des et regies n&ressaires pour 
acc^der a des fichiers de la carte a micro-circuit 31, 131 sont contenues dans le logiciel de 
traduction 62 et sont done inaccessibles a des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustr6es ci-apr$s en prenant 
I'exemple d'une application visant le commerce Slectronique. ^application met en oeuvre 
1 5 les entites suivantes : 

• un acheteur 

• un commerjant, 

• une banque. 

Le commergant dispose d'un serveur de commerce 6lectronique Sap (serveur Web) 
20 accessible depuis le reseau Internet. Les acheteurs sont 6quipes de: 

• un ordinateur PC permettant d'aateder au serveur Sap de commerce 
electronique, et grace auquel I'acheteur peut consulter un catalogue de marchandises. 

• une carte a circuit integr6 31 d6livr£e par la banque et dont le microprocesseur 
30 contient une cl6 priv6e, mais ne dispose pas de capacity cryptographiques permettant 

25 d'effectuer une signature, 

• un module terminal 1 selon le mode de realisation de la figure 4A, dote d'un 
microcontrOleur standard 2, d'un microprocesseur sScurise 3 disposant de capacity 
cryptographiques permettant la signature d'un message, d'un clavier 5, d'un afficheur 4, d'une 
interface carte a circuit integte 6 et d'une interface s6rie 7 pour sa connexion a un ordinateur PC. 

30 Les principes de fonctionnement sont les suivants : la transaction est sign§e par le 

module terminal 1 a Paide d'une cl6 priv6e d&enue par la carte 31. Cette cl6 privee est 
protegee par un code porteur confidentiel (PIN) que I'acheteur doit saisir en milieu s6curise, 
done sur le terminal 1, et par une authentication prealable du terminal 1 par la carte 31 a 
I'aide d'une cle secrete Kauth. De plus la cl6 priv6e est transmise de manure chiffr^e (par une 
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cle Kchif) de maniere k etablir un canal de communication securise entre le microprocesseur 
30 de la carte k circuit integree 31 et le microprocesseur securise 3 du terminal 1 . 
La figure 9 illustre les ^changes entre les differentes entites : 
a. I'acheteur constitue sa commande sur Pordinateur PC, 
5 b. I'ordinateur PC elabore la transaction k faire signer par I'acheteur (reference article, 

prix) et demande la signature de cette transaction au module terminal 1, 

c. le module terminal verifie I'origine de la demande de signature puis sollicite la 
saisie du code PIN par affichage d'un message "saisie PIN" sur son afficheur 4, 

d. I'acheteur saisit son code porteur (code PIN) sur le clavier 5 du module terminal 1, 
10 e. le PIN est envoye par le module terminal 1 a la carte 31 pour verification. Cette 

verification etant positive, elle provoque la levee d'une de deux conditions d'acc6s k la 
lecture de la cle privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

g. I'acheteur donne son accord, par appui sur une touche "validation" du clavier 5 du 
15 module terminal 1, 

h. le module terminal 1 soumet une demande d'authentification externe k la carte 31. 
Cette authentification externe permet au microprocesseur securise 3 du module terminal 1 
de s'authentifier vis-i-vis du microprocesseur 30 de la carte 31 et de lever ainsi la deuxiSme 
protection d'accSs k la cle privee. Cette authentification se fait en mode challenge/reponse 

20 sur la base d'un secret., Kauth, partage par le module terminal 1 et la carte 31 , 

i. le module terminal 1 envoie une demande de lecture de cle privee k la carte 31, 

j. toutes les conditions d'acces etant remplies, la carte 31 accepte la demande de 
lecture, et renvoie la cle privee, chiffree par une cle secrete, Kchif, partagee par la carte 31 et 
le module terminal 1, 

25 k. le module terminal 1 dechiffre la cle privee, signe la transaction au moyen de la cle 

privee, detruit la cle priv6e, se deconnecte de la carte 31 et envoie e la transaction sign£e k 

I'ordinateur PC qui la transmet au serveur S. 

Cet exemple peut etre transpose ais£ment k une transaction electronique effectuee 

sans ordinateur PC, le module terminal 1 se connectant directement k un serveur Sap par 
30 une liaison modem (figure 3), I'acheteur entrant la commande (reference produit) sur le 

module terminal 1. 

II est k noter que I 'authentification du microprocesseur s6curise 3 par la carte peut 
aussi etre effectue k travers la commande de lecture de cle privee en lui associant un code 
d'authentification MAC (Message Authentification Code) calcuie au moyen d'une cle secrete. 
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Cet exemple montre que le logiciel filtre 62 permet de traduire une requete de haut 
niveau "demande de signature de transaction" en une multitude de requites Omental res 
adress^es aux differentes interfaces du module terminal 1, & savoir Pinterface 6 avec la carte 
& circuit integrg 31, I'interface afficheur 4, I'interface clavier 5, ['interface de connexion k 
5 I'ordinateur PC ou au serveur Sap. 

Un tel logiciel filtre de traduction a un r6le d'Scran, de filtre entre le monde exterieur, 
c'est & dire les applications, et les p£ripheriques qu'il g6re. 

II am^liore la security offerte du fait que : 

1 . il impose un s£quencement aux ordres 6l6mentaires envoy6s. Par exemple, dans le cas 
10 illustr£ ci-dessus, il impose que la transaction soit valid£e par I'utilisateur avant d'etre sign£e. 

2. il dispose seul des param&res secrets permettant de g6n6rer et d'authentifier ces ordres 
£l6mentaires. Ainsi il dispose seul des cl6s d'authentification et de chiffrement permettant de 
lire et dechiffrer la cle priv^e. 

Lorsque le logiciel filtre est execute dans le microprocesseur s6curis6 3 du module 
15 terminal 1, ces propri&es permettent d'imposer une politique d'acc^s & la carte 31, politique 
qui n'est pas toujours complement imposee par la carte elle-meme, ou d'etendre les 
capacites d'une carte (capacity de signature d6legu6e au module terminal, utilisation dans un 
contexte non pr£vu lors de son d^ploiement initial). 

Les avantages offerts en terme de s6curit6 par ^execution du logiciel filtre dans le 
20 microprocesseur securis§ du module terminal ou dans celui de la carte k circuit int6gr6 ne 
sont possibles que parce que le logiciel s'ex6cute dans un environnement s6curis6 
permettant d'assurer que : 

• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait qu'ils sont 
memorises au sein du microprocesseur securis§ 3, 29, 30 ou 1 30, 
25 • la confidential ite et I'integrite du logiciel filtre sont preserves, du fait que ce 

logiciel est m£moris6 dans la microprocesseur sScurise 3, 29, 30 ou 1 30. 

Dans le cas oCi le module terminal 1 est un produit d&Ji6, disposant de ses propres 
interfaces, afficheur 4 et clavier 5, 1'objectif de s6curite est atteint grace au fait que le logiciel 
pilotant les ^changes de donnees avec I'utilisateur ne peut 6tre modify, dans la mesure ou il 
30 est stocks de mantere definitive dans la m^moire permanente 2c du microcontrdleur 2 ou de 
mantere s6curis6e dans le microcontrdleur 29. L'utilisateur peut ainsi valider en toute 
confiance le contenu de sa transaction grace k Pafficheur 4 et au clavier 5, rendant optionnel 
la n6cessit6 de verifier I'identite de ('application ou I'origine et ('integrity des requfites. 

D'autres m^canismes peuvent encore am6liorer le niveau de security de la chatne de 
35 confiance entre le microprocesseur s6curis6 de la carte ci circuit integre, I'eventuel 
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microprocesseur s6curis6 du module terminal, le microcontr6leur standard ou le PC du 
module terminal et I'utilisateur. Ces m^canismes sont les suivants : 

A) tetechargement securise du logiciel filtre ; 

B) authentification du microcontrdleur standard par le microprocesseur securisS ou, ce 
5 qui est Equivalent mais mieux adapts dans le cas d'un mode d'ex^cution du terminal autour 

d'un PC, authentification du module logiciel interpreter I (20) par le logiciel filtre F (62), 
et/ou 6tablissement d'un canal de communication securis6e entre ces deux microprocesseurs 
ou les logiciels I et F, 

O protection d'un secret par le microcontrdleur standard , 
10 D) authentification mutuelle et etablissement d ! un canal de communication securise 

entre le microprocesseur s6curis6 de la carte k circuit integr6 et le microprocesseur securise 
du module terminal, 

E) authentification du module terminal, et 6ventuellement du couple module terminal- 
carte, 

1 5 F) authentification de la carte k micro-circuit par le module terminal. 

A) T6l6chargement securise du logiciel filtre 

L'organigramme de la figure 10 illustre le processus de t6l6chargement d'un 
programme d'application (logiciel filtre) dans le microprocesseur s6curis6 3 ou 29 du 
module 1 ou le microprocesseur securise 30, 130, d'une carte 31, 131 pr6sente dans le 

20 lecteur 6. Ce t§lechargement peut fitre effectuS k partir d'un serveur Sap via, par exemple, 
I'ordinateur personnel PC et ('interface 7 de liaison externe ou I'interface 8 de liaison 
infrarouge, ou directement au moyen d'une liaison t6l6phonique grace k I'interface 9 de 
liaison par DTMF. Le t6l6chargement peut egalement fitre effectu6 dans le microprocesseur 
securise 3 ou 29 (si le module terminal en est equipe) k partir d'une carte k micro-circuit 

25 introduite dans le lecteur 6. 

A l'6tape 32, la zone de la memoire 3d allouee au programme d'application k recevoir 
est vide et le microprocesseur 3 est en attente du chargement du programme d'application k 
la suite d'une requite de chargement 

L'&ape suivante 33 correspond k une procedure d'authentification par le 

30 microprocesseur 3 de Pentite appel6e k telEcharger le programme d'application (Emetteur). 
Cette procedure d'authentification peut faire appel, par exemple, k des m6canismes de 
chiffrement bien connus des sp^cialistes de la technique, par exemple des mScanismes 
sym6triques k c!6s secretes partag^es ou des mEcanismes asym&riques k cl6 privee et cl6 
publique. 
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L'etape 34 est un test visant k determiner si la procedure d'authentification a reussi : 
dans la negative, le message "acces refuse" est affiche sur Pecran 4 (etape 42) et le 
programme retourne k Petape 32; dans I'affirmative, le processus de chargement du 
programme duplication commence k Petape 35. 
5 L'etape 36 correspond au stockage dans la memoire EEPROM 3d des trames de 

donnees transmises par Pentite assurant le telechargement. 

L'etape 37 est un test pour determiner si le telechargement est acheve : dans la negative, 
le programme de telechargement revient k Petape 36 et le telechargement se poursuit ; dans 
I'affirmative, il est procSde k Petape 38 k une verification de Pintegrite des donnees revues par 

10 le microprocesseur 3. A cet effet, un code d'authentification de message (MAC) peut etre 
associe au programme telecharg^ pour permettre de verifier non seulement son integrite, mais 
egalement son origine. Le MAC peut etre produit en utilisant un mecanisme de cryptographie 
symetrique (DES en mode chaTne CBC). La verification de I'origine et de Pintegrite peut aussi 
etre realisee k Paide d'un mecanisme de cryptographie asymetrique : un condense du logiciel 

15 tel&rharge est signe par Pemetteur k Paide de sa cl6 privee ; le microprocesseur securise 3 
verifie ensuite la signature & Paide de la cle publique de Pemetteur. 

II est k noter que dans ce dernier exemple, la cl6 publique par principe ne necessite 
pas de rester confidentielle. Cependant la securite apportee par le microprocesseur assure 
Pintegrite du logiciel, empfichant un fraudeur de modifier le logiciel pour supprimer la 

20 verification de signature ou simplement de substituer k la cle publique initialement prevue 
une cle publique pour laquelle il con nai trait la cle privee associee. 

Si d'apres le test 39, il s'av^re que les donnees regues sont correctes, un drapeau 
indiquant que le programme duplication re?u est valide est elabore k Petape 40. Dans le 
cas contraire, le programme de telechargement revient k Petape 32 de depart. 

25 Ce processus de chargement du logiciel duplication, done du logiciel filtre, dans la 

memoire reprogrammable securisee (3d, 30a, 130a suivant le mode de realisation), 
comporte des mecanismes permettantde confirmer Porigine et Pintegrite des donnees revues 
de Pemetteur du logiciel. Ceci permet d'interdire le telechargement par un fraudeur d'un 
logiciel filtre qui serait susceptible de mettre en oeuvre des transactions dans le module 

30 terminal 1, 101 k Pinsu de Putilisateur. 

B) Authentification du module logiciel interpreter !, 20, 71 par le logiciel filtre F, 62 
ou, ce qui est equivalent dans le mode d'ex£cution correspondant, authentification du 
microcontrdleur standard 2 par le microprocesseur securise, et/ou etablissement d'un 
canal de communication securise entre ces deux logiciels ou ces deux microprocesseurs. 
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Pour qu'un utilisateur puisse avoir une totale confiance dans le module terminal au 
moyen duquel il effectue des transactions, il est n^cessaire : 

- d'authentifier les donnSes transmises du logiciel interpr&eur 20, 71 au 
microprocesseur s6curis6 3, 30 ou 130 executant le logiciel filtre ; 
5 - d'assurer que les donn^es transmises par le logiciel filtre pour 6tre affichees par 

I'interm&iiaire du logiciel interpr&eur du module terminal 1, 101 possede par I'utilisateur ne 
peuvent I'gtre que par celui-ci. 

Lorsque les moyens de pilotage des ^changes de donn^es avec I'utilisateur, c'est k dire 
le logiciel interpr&eur 20, 71, sont implants de mantere fixe et non modifiable dans le 
10 module terminal 1, 101, comme par exemple dans la mgmoire ROM 2c du microcontrdleur 
standard 2, I'authentification du module logiciel est 6quivalente a I'authentification du 
microcontrdleur. 

De mgme, lorsque le logiciel filtre est implants de mantere k ne pas pouvoir fitre 
modify par une personne non autoris^e, dans des moyens de traitement s6curis6s tels que le 
15 microprocesseur s6curis£ 3, la carte k circuit int£gr£ ou bien le serveur s£curis6 Ssec, une 
authentification effectu^e par ces moyens securises est Squivalente & une authentification 
effectug par le logiciel filtre lui-m&me. 

Dans la description qui suit, nous d&rrirons les mecanismes d'authentification des 
moyens logiciels de pilotage des interfaces ou logiciel interpr&eur 20, 71 par le logiciel filtre. 
20 Differentes solutions permettent de remplir ces conditions. 

Une premiere solution consiste k chiffrer toutes les donn^es 6chang6es entre le le 
logiciel interpr&eur 20, 71 et le logiciel filtre. 

Une deuxidme solution consiste & faire proc&ter k I'authentification du logiciel 
interpreter 20, 71 par le le logiciel filtre et/ou £ 6tablir un canal de communication s6curise 
25 entre ces deux logiciels. 

Ces deux solutions impliquent nScessairement qu'au moins un param&re secret connu 
du logiciel filtre F, 62, soit stocks dans le logiciel interpreter 20, 71 . 

Selon la deuxi&me solution, le logiciel filtre F, 62 authentifie le logiciel interpreter 20, 
71, selon un processus conventionnel d'authentification, sur la base d'une information 
30 transmise par le logiciel interpreter 20, 71, et combinee avec le param&re secret. Au 
niveau du logiciel interpreter 20, 71, cette procedure d'authentification est mise en oeuvre 
par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la forme de realisation du 
module terminal. 
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Ce mecanisme d'authentification peut egalement s'appliquer aux messages echanges 
entre les deux logiciels pour construire des codes d'authentification des messages permettant 
de garantir I'origine et I'integrite de chaque message transmis. 

Dans le cas du mode d'execution decrit k la Figure 4A, cette solution requiert 
5 cependant que, de preference, une protection physique de la liaison entre les deux 
microprocesseurs soit assume pour interdire k un fraudeur de lire les donnees 6chang6es, et 
en particulier le code d'identification personnel (PIN) de la carte que Putilisateur peut etre 
amene k introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection d'un param&re secret par le microcontrdleur standard 2 

10 La description pr6cedente montre la necessite de stacker au moins un param&re secret 

dans le logiciel interpreter. Le mode d'execution du terminal k partir d'un PC, dans lequel 
le logiciel interpreter est execute sur le PC lui-meme, offre done de par la securite limine 
du PC un degre de securite limits bien que suffisant pour empecher un virus de se substituer 
au logiciel interpreter. Un degre de securite superieur est obtenu en implantant le logiciel 

15 interpreter dans la ROM 2c du microcontrdleur standard 2. Pour ameiiorer la securite, le 
param&re secret du microcontrdleur 2 pourra etre stocks dans la memoire temporaire, et 
cela k la fabrication du produit ou, eventuellement, lors de ('insertion du microprocesseur 
securise 3 s'il est amovible, ou d'une carte k circuit integre. Cette operation a pour but 
d'etablir une confiance entre les deux microprocesseurs. Toute precaution utile doit Stre 

20 prise lors de cette operation pour s'assurer de I'authenticite du microcontrdleur 2 (operation 
effectu^e en usine, operation protegee par des cles dites de transport elles-m£mes stockfes 
dans la memoire temporaire du microcontrdleur 2 en usine, et dont la connaissance 
conditionne ('operation d'initialisation dudit param£tre secret). En outre des mecanismes 
conventionnels de detection d'intrusion (contacts...) seront mis en place, pour provoquer 

25 Peffacement de la memoire temporaire en cas d'intrusion (coupure alimentation...). 

D) Authentification mutuelle et etablissement d'un canal de communication s£curise 
entre le microprocesseur de la carte h circuit int£gr6 et le microprocesseur securise du 
module terminal 

Cette authentification mutuelle et I 'etablissement du canal de communication 
30 securisee sont realises par la mise en oeuvre de mecanismes identiques k ceux utilises entre 
le microcontrdleur standard 2 et le microprocesseur securise executant le logiciel filtre 
comme decrit au point B) ci-dessus. 

E) Authentification du module terminal 

II est important de se premunir vis-i-vis de toute attaque contre Pensemble clavier 5, 
35 afficheur 4, microprocesseur securise 3, visant par exemple k effectuer des contrefagons de 
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module terminal , k substituer un module terminal par un module terminal contrefait dans le 
but de r6cup6rer des informations saisies par I'utilisateur (espionnage clavier), d'acceder aux 
secrets d'une carte k circuit integrS, d'effectuer des fausses signatures. 

Pour cela, il pourra Gtre ajoute un mScanisme permettant k I'utilisateur d'authentifier 
5 son terminal. 

Cet objectif est atteint grace k un processus de personnalisation automatique. 
Authentification du module terminal seul 

La personnalisation peut consister en le calcul d'un mot de passe facile k se rappeler 
g6n6r6 et afficht par le terminal en fonction des param&res secrets contenus par le ou les 

10 microprocesseurs du terminal, lorsque I'utilisateur introduit un PIN. Si le terminal comporte 
par exemple deux microprocesseurs, le mot de passe est stocks dans le microprocesseur 
s6curis6, chiffre par le PIN et une cl6 secrete X, puis transmis au microcontr6leur 2 pour 
d^chiffrement avec la c\€ X stockee 6galement dans le microcontrdleur 2 et le PIN introduit 
par I'utilisateur. Ce mecanisme vise a se prSmunir contre la substitution de I'un des deux 

1 5 microprocesseurs. 

Le m£me principe peut £tre appliqut k un couple carte/terminal k chaque fois qu'une 
carte k micro-circuit est utilisSe avec le module terminal. La personnalisation peut consister 
par exemple en le calcul, au moyen du logiciel de traduction, d'un mot de passe bas6 sur 
une information secrete contenue dans le microprocesseur s6curis6 de la carte et d'une ou 

20 plusieurs informations secretes contenues dans module terminal. Le m6me principe que 
celui decrit ci-dessus peut Stre utilise pour calculer le mot de passe. Ce mot de passe, g6n6re 
lors de la premiere utilisation du module terminal en conjonction avec la carte et connu de 
I'utilisateur, est affichS sur I'Scran 4 lors des utilisations subsequentes du module terminal 
avec la carte. L*utilisateur peut ainsi le verifier et avoir ainsi I'assurance que le terminal en sa 

25 possession, constitu§ du module terminal couple k la carte, est bien authentique. 
F) Authentification de la carte k micro-circuit par le module terminal 
Pour accroftre encore la s6curit6 du systeme de transaction suivant I'invention, un 
processus conventionnel d'authentification peut fitre mis en oeuvre afin d'assurer 
I'authentification par le module terminal 1, 101 de la carte k micro-circuit utilisee. Un tel 

30 processus d'authentification permet notamment d'eviter que le numero d'identification 
personnel (PIN) de I'utilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour exporter une transaction s6curis6e, soit capture par une carte falsifiee qui aurait et6 
substitute par un fraudeur k la carte authentique de I'utilisateur puis que ce fraudeur 
r6cup6rerait pour lire le PIN sur la carte falsiftee. L'authentification peut, par exemple, fitre 

35 effectute par un mtcanisme classique de type d6fi / rSponse au moyen d'un secret partage 
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entre la carte et le module terminal en utilisant une cryptographic sym£trique ou bien, 
comme cela a de\k 6te decrit pr6c6demment, au moyen d'une cl6 privee stocks par la carte 
permettant le chiffrement du defi ou challenge k I'aide d'un algorithme asynrtetrique, le 
module terminal v£rifiant la teponse k I'aide de sa c\€ publique. 
5 L'architecture du systeme de transaction ainsi que les mecanismes de s£curisation 

dgcrits ci-dessus conferent une tr£s grande s&rurite aux transactions effectu£es au moyen du 
module terminal 1, 101. 

Ce module terminal permet : 

- grace au clavier 5, k I'Scran 4 et k la protection des donnges £chang£es avec 
10 I'utilisateur, d'&endre la nature des services teellement s6curis6s que peut fournir une carte k 

micro-circuit ; 

- d'utiliser la carte dans le contexte d'un environnement non s6curis6 (ordinateur 
personnel PC susceptible d'etre affecte par des virus ou programmes pirates), en I'isolant 
hermetiquement de cet environnement grace a une architecture logicielle et/ou materielle 

15 qui contrdle strictement I'acc6s k la carte, c'est k dire qui contr6le les commandes envoyees 
aux fonctions cryptograph iques contenues dans la carte. 

Le module terminal peut revStir differentes formes telles que : 

• un lecteur de carte a circuit integte, connectable k un ordinateur via differentes 
interfaces (PCMCIA...) ou non (connexion k un serveur via modem uniquement) ; 

20 • un ordinateur (PC) dont les interfaces utilisateur sont constitutes par l'£cran et le 

clavier du PC, et qui comporte un lecteur de carte k circuit integte. Ce PC inclura des 
moyens logiciels et / ou materiels (tels qu'un second microprocesseur s6curis6, le 
microcontrdleur standard 6tant constitut par le PC) pour assurer I'integrite et la 
confidentiality du logiciel filtre. Par ordinateur on entend un ordinateur de type PC, mais 

25 ggalement un PDA (* Personal Digital Assistant * ou Assistant Num6rique Personnel) ; 

• un clavier, 6ventuellement muni d'un 6cran d'affichage LCD, dans lequel est 
integte un microprocesseur s£curis6 et une interface carte k circuit integte ; 

• un telephone muni Sventuellement d'un afficheur, dans lequel est integte un 
microprocesseur s6curis6 et une interface carte k circuit integte ; 

30 • un dScodeur (set-top box) de teseau cable de TV integrant un lecteur ce carte k 

circuit integte connects k un poste de television, le poste de television, un clavier ou 
eventuellement la tel6commande assocte au decodeur ou k la television servant de 
moyens d'interface avec I'utilisateur ; 

• plus g&teralement tout 6quipement s£curisable par I'integration d'un 
35 microprocesseur s£curis£ dans lequel pourra fitre instaltee une application dite sensible, 
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ou par ('integration d'une interface carte a circuit integre" permettant le pilotage dudit 
equipement par une application deportee dans une carte a circuit int6gre\ 

L'ensemble de la description pr6c6dente d6crit un terminal destine" a §tre utilise 
avec une carte a circuit int6gr6 ou "smart card". La carte a laquelle il est fait reference est 
en fait un outil permettant la mise en oeuvre de fonctions cryptograph iques et 
personnalise par rapport a un utilisateur au moyen d'au moins un secret. II est evident 
que I'objet de I'invention ne se limite pas a un outil de forme donn6e tel que celui de la 
carte a circuit integre\ L'invention couvre aussi la mise en oeuvre de dispositifs personnels 
de security pouvant offrir des fonctions equivalentes a celle d'une carte a circuit int6gre\ 
mais pr^sentes sous une forme diff6rente, tels que les produits " iButton " Java Ring ' 
ou jeton C token "). 
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REVINDICATIONS 

1. Terminal pour la mise en ceuvre, par un utilisateur, de transactions 6lectroniques 
s6curis6es en liaison avec au moins une application implantee sur une unite £lectronique, 
ledit terminal comprenant : 

- un module terminal comportant au moins : 

5 * des premiers moyens d'interface avec ladite application pour en recevoir des 

requites relatives auxdites transactions, 

* des deuxtemes moyens d'interface avec ledit utilisateur, 

* des troistemes moyens d'interface avec un dispositif personnel de s^curite, 

* des premiers moyens de traitement de donn6es comprenant au moins des premiers 
1 0 moyens logiciels de pilotage desdits moyens d'interface, et 

- un dispositif personnel de s^curite comportant au moins des deuxtemes moyens de 
traitement de donnSes securis6s comprenant au moins des deuxiemes moyens logiciels 
d'ex^cution de commandes 6l6mentaires et des moyens d'execution de calculs cryptographiques, 

caracteris£ en ce que : 

15 - ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites requites de ladite 

application (Fap) implantee sur la dite unite Slectronique (Sap ; PC) sous la forme de requites 
de haut niveau independantes dudit dispositif personnel de s^curite, 

- Pun au moins dudit module terminal (1; 101) et dudit dispositif personnel de s^curite 
comprend : 

20 * au moins une nrtemoire reprogrammable (3d ; 30a ; 102b ; 130a ; Ssec) de 

stockage d'au moins un logiciel filtre (F, 62), traduisant lesdites requites de haut niveau en au 
moins Tune de : 

(i) au moins une commande etementaire ou une sequence de commandes 
£l6mentaires ex^cutables par lesdits deuxiemes moyens logiciels (80-84) desdits deuxiSmes 

25 moyens de traitement de donn6es (30 ; 1 30), ou 

(ii) au moins une sequence d'&rhange de donnSes entre ledit module terminal (1 ; 101) 
et ledit utilisateur via lesdits seconds moyens d'interface (4, 5), ex^cutables par lesdits premiers 
moyens logiciels (1, 20, 71) desdits premiers moyens de traitement de donn6es (2 ; 29 ; 102), 

* des moyens de protection dudit logiciel filtre (F, 62), pour emp§cher toute 
30 lecture et/ou modification dudit logiciel filtre par une entite non autoris£e, et 

- Tun au moins desdits premiers et deuxfemes moyens de traitement de donnees (3 ; 29 
, 30 ; 102 ; 130 ; Ssec) comprend un dispositif de traitement de donnees pour Tex&rution 
dudit logiciel filtre (F, 62). 
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2. Terminal selon la revendication 1, caracterise en ce que ledit dispositif d'execution 
du logiciel filtre comprend des premiers moyens d'identification et/ou d'authentification de 
ladite application (Fap) implantee dans ladite unite electronique (Sap; PC) ou de I'origine 
desdites requfites emises par ladite application. 
5 3. Terminal selon la revendications 2, caracterise en ce que ledit dispositif de 

traitement de donnees pour Texgcution dudit logiciel filtre (F, 62) comprend des moyens de 
verification de I'integrite des donnees revues de ladite application (Fap). 

4. Terminal selon Tune quelconque des revendications 1 k 3, caracterise en ce que ledit 
dispositif de traitement de donnees pour I'execution dudit logiciel filtre (F, 62) comprend des 

10 moyens centralises (Ssec) de contrdle des conditions d'utilisation des services du dispositif 
personnel de securite (31) en fonction de ladite application (Fap) et/ou de I'utilisateur. 

5. Terminal selon I'une quelconque des revendications 1 k 4, caracterise en ce que ledit 
dispositif de traitement de donn6es pour I'execution dudit logiciel filtre (F, 62) comprend : 

- des moyens pour commander le chargement securisS dudit logiciel filtre dans ladite 
15 m6moire programmable, via Tun desdits premiers ou troisifcmes moyens d'interface, k partir 

d'une entity exterieure audit module, et 

- des premiers moyens de contrOle d'accfcs pour n'autoriser ledit chargement dudit 
logiciel filtre qu'en reponse k au moins une condition predefinie. 

6. Terminal selon I'une quelconque des revendications 1 k 5, caracterise en ce qu'il 
20 comprend des deuxtemes moyens d'authentification desdits premiers moyens de traitement de 

donnees (2 ; 3 ; 29 ; Ssec) par lesdits deuxiSmes moyens de traitement de donnees (30 ; 1 30). 

7. Terminal selon Tune quelconque des revendications 1 k 6, caracterise en ce qu'il 
comprend des troistemes moyens d'authentification desdits deuxtemes moyens de traitement 
de donnees (30 ; 1 30) par lesdits premiers moyens de traitement de donnees (3 ; 29). 

25 8. Terminal selon I'une quelconque des revendications 6 et 7, caracterise en ce qu'il 

comprend un premier canal de communication (6) entre lesdits premiers (2 ; 3 ; 29) et 
deuxtemes (30 ; 130) moyens de traitement de donnees et des premiers moyens de 
s£curisation dudit premier canal de communication. 

9. Terminal selon I'une quelconque des revendications 1 k 8, caracterise en ce qu'il 
30 comprend des quatrtemes moyens d'authentification dudit module terminal (1 ; 101) par 

ledit utilisateur, independamment dudit dispositif personnel de securite (31 ; 131). 

10. Terminal selon la revendication 9, caracterise en ce que lesdits quatriemes moyens 
d'authentification comprennent des moyens de calcul, par lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29), et de presentation audit utilisateur, via lesdits deuxiemes 

35 moyens d'interface (4), d'un mot de passe connu dudit utilisateur et calcuie sur la base d'au 
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moins un premier param&re secret stocks dans lesdits premiers moyens de traitement de 
donnSes (2 ; 3 ; 29). 

1 1. Terminal selon I'une quelconque des revendications 1 & 10, caract<§ris£ en ce qu'il 
comprend des cinqutemes moyens d'authentification conjointe dudit module terminal (1 ; 

5 101) et dudit dispositif personnel des^curite (31 ; 131) par ledit utilisateur. 

12. Terminal selon la revendication 11, caracterisS en ce que lesdits cinqutemes 
moyens d'authentification comprennent des moyens de calcul, par ledit dispositif 
d'ex(§cution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de presentation audit utilisateur, via 
lesdits deuxtemes moyens d'interface (4), d'un mot de passe connu dudit utilisateur et 

10 calculi sur la base d'au moins un deuxteme et un troisi£me param&res secrets stockes en 
m£moire respectivement dans lesdits premiers (2 ; 3 ; 29) et deuxtemes (30 ; 1 30) moyens de 
traitement de donnees. 

13. Terminal selon I'une quelconque des revendications 1 £ 12, caract6ris£ en ce que 
ledit module terminal (1) comporte ladite m^moire programmable (3d) pour le chargement 

15 et le stockage dudit logiciel filtre (F, 62). 

14. Terminal selon la revendication 13, caract<§ris6 en ce que ledit logiciel filtre (F, 62) 
g6n£re des premieres commandes pour la mise en oeuvre de ladite sequence d'^changes de 
donnees entre ledit module terminal (1) et ledit utilisateur, et en ce que lesdits premiers 
moyens de traitement de donnees comprennent un premier microprocesseur (2 ; 102) de 

20 pilotage desdits moyens d'interface (4-9) programme grace auxdits premiers moyens logiciels 
(20, 71) de pilotage desdits moyens d'interface pour exScuter lesdites premieres commandes 
g6n£r£es par ledit logiciel filtre (F, 62), et un deuxteme microprocesseur sScurise (3) du type 
pour carte a circuit integr<§ dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel filtre (F, 62) 

25 pour le pilotage de ladite sequence d'echanges de donnees au moyen desdites premieres 
commandes transmises audit premier microprocesseur (2) et pour Papplication de ladite 
commande 6l6mentaire ou sequence de commandes 6l6mentaires auxdits deuxidmes 
moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caract6ris6 en ce que lesdits premiers moyens 
30 logiciels (20, 71) de pilotage des moyens d'interface comportent au moins un quatrteme 

param&re secret, ledit deuxiSme microprocesseur (3) 6tant commands par ledit logiciel filtre 
(F, 62) pour authentifier lesdits premiers moyens logiciels (20, 71) de pilotage des moyens 
d'interface sur la base d'une information transmise par ledit premier microprocesseur (2) et 
combin6e au moins avec ledit quatri£me param6tre secret. 
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16. Terminal selon la revendication 15, caract£ri$6 en ce qu'il comprend un deuxifeme 
canal de communication (12) entre lesdits premiers moyens logiciels (20, 71) de pilotage des 
moyens d ! interface et ledit deuxi£me microprocesseur (3) et des deuxiSmes moyens de 
s£curisation dudit deuxteme canal de communication. 
5 17. Terminal selon la revendication 16, caract£ris£ en ce que lesdits deuxi£mes 

moyens de s£curisation comprennent des moyens de chiffrement et dechiffrement, par 
lesdits premiers moyens logiciels (20, 71) et par ledit deuxiSme microprocesseur (3), des 
donn£es transmises sur ledit deuxteme canal de communication (12), sur la base d'au moins 
un cinquteme paramfetre secret memorise dans lesdits premiers et deuxtemes moyens de 
1 0 traitement de donnSes. 

18. Terminal selon I'une quelconque des revendications 16 et 17, caracterise en ce 
que lesdits deuxi^mes moyens de securisation comprennent des premiers moyens physiques 
de protection dudit deuxi^me canal de communication (12) contre les intrusions. 

19. Terminal selon I'une quelconque des revendications 15 k 18, caracterise en ce 
15 que ledit premier microprocesseur (2) comporte une mSmoire temporaire (2b) pour le 

stockage dudit param£tre secret et des deuxi&mes moyens physiques de protection de ladite 
memoire temporaire (2b) contre les intrusions. 

20. Terminal selon I'une quelconque des revendications 14 k 19, caracterise en ce 
que ledit deuxteme microprocesseur (2) est un microcontr6leur. 

20 21 . Terminal selon la revendication 1 3, caracterise en ce que ledit logiciel filtre gen£re 

des premieres commandes pour la mise en oeuvre de ladite sequence d'echanges de 
donnees entre ledit module terminal et ledit utilisateur et lesdits premiers moyens de 
traitement de donnees comprennent ledit dispositif d'execution du logiciel filtre et sont 
constitu£s par un microprocesseur securise (29) adapte pour : 
25 * ex6cuter ledit logiciel filtre (F, 62) de traduction et de conversion desdites 

requites de haut niveau en au moins une sequence d'echanges de donnees entre le 
module terminal et I'utilisateur et/ou en au moins une commande elementaire ou une 
sequence de commandes elementaires executables par lesdits deuxtemes moyens 
logiciels desdits deuxternes moyens de traitement de donnees (31), 
30 * piloter lesdits moyens d'interface (4-9) grace auxdites premieres commandes 

gener^es par ledit logiciel filtre, pour la mise en oeuvre de ladite sequence d'echanges 
entre ledit module terminal (1) et ledit utilisateur. 
22. Terminal selon la revendication 21, caracterise en ce que ledit microprocesseur 
(29) comporte ladite memoire programmable. 
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23. Terminal selon la revendication 21, caract£ris6 en ce que ladite mSmoire 
programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caract6ris6 en ce que ledit logiciel filtre (F, 62) 
est stocke sous forme chiffr^e dans ladite m^moire programmable et en ce que ledit 

5 microprocesseur (29) comprend des moyens pour lire, d^chiffrer et ex^cuter ledit logiciel filtre. 

25. Terminal selon I'une quelconque des revendications 14 & 24, caract6ris6 en ce 
que lesdits deuxifcmes moyens de traitement de donn^es dudit dispositif personnel de 
securite (31) comprennent un deuxteme dispositif de traitement de donnees (30) pour 
l'ex£cution securisee d'un logiciel filtre et une mSmoire programmable (30a) pour le 

10 chargement et le stockage dudit logiciel filtre (62), lesdits premiers moyens logiciels desdits 
premiers moyens de traitement de donn6es 6tant adapts pour recevoir lesdites commandes 
pour la mise en oeuvre de ladite sequence d'6change de donnees indifferemment de Tun ou 
I'autre desdits dispositifs (3 ; 29 ; 31) d'execution de logiciel filtre implants dans ledit 
module et ledit dispositif personnel de s£curit6 respectivement. 

1 5 26. Terminal selon Tune quelconque des revendications 1 3 & 25, caract6ris6 en ce que : 

- ledit logiciel filtre (F, 62) comprend au moins un param£tre secret, 

- lesdits deuxiSmes moyens de traitement (30) de donnSes comprennent des seconds 
moyens de contrdle d'acc^s conditionnels pour n'autoriser Pex^cution desdits calculs 
cryptograph iques, en r6ponse & des commandes elementaires generees par ledit logiciel filtre 

20 (F, 62), que si au moins une seconde condition pr&tefinie, fonction dudit param^tre secret est 
remplie. 

27. Terminal selon Tune quelconque des revendications 1 a 12, caract6ris£ en ce que 
ledit dispositif personnel de sScurite (131) comporte ladite m^moire programmable (130a) 
pour le chargement et le stockage dudit logiciel filtre (F, 62). 

25 28. Terminal selon la revendication 27, caract6ris6 en ce que ledit logiciel filtre (F, 62) 

g6n£re des premieres commandes pour la mise en oeuvre de ladite sequence d'echanges de 
donnees entre ledit module terminal (1) et ledit utilisateur et ce que lesdits premiers moyens 
de traitement de donn6es comprennent un premier microprocesseur (2 ; 102) de pilotage 
desdits moyens d'interface (4-9), programme grace auxdits premiers moyens logiciels (20, 

30 71), pour ex^cuter lesdites premieres commandes, g6n6r6es par ledit logiciel filtre (F,62), et 
lesdits deuxi&mes moyens de traitement de donnees comprennent un deuxi^me 
microprocesseur s6curise (130) du type pour carte ci circuit int6gre dispose dans ledit 
dispositif personnel de security (131) et comportant ladite mSmoire programmable (130a), 
ledit second microprocesseur (130) executant (i) ledit logiciel filtre (F, 62) pour le pilotage de 

35 ladite sequence d'Schanges de donnees au moyen desdites premieres commandes 
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transmises audit premier microprocesseur (2 ; 102), ainsi que (ii) lesdites commandes 
SlSmentaires. 

29. Terminal selon les revendications 6 et 28, caractSrisS en ce que lesdits premiers 
moyens logiciels (20, 71) de pilotage desdits moyens d'interface comportent au moins un 

5 param&re secret et ledit second microprocesseur (1 30) dudit dispositif personnel de sScurite 
(131) est commands par ledit logiciel filtre (62) pour authentifier ledit premier 
microprocesseur (2) sur la base d'une information transmise par ledit premier 
microprocesseur (2) et combinee au moins avec ledit param&re secret. 

30. Terminal selon Tune quelconque des revendications 28 et 29, caractSrisS en ce 
10 que ledit deuxieme microprocesseur (130) dudit dispositif personnel de s6curit<§ (131) est 

adapts pour commander le chargement dudit logiciel filtre (F, 62) dans ladite memoire 
programmable (130a) via lesdits premiers moyens d'interface (7-9) et lesdits troisiSmes 
moyens (6) d'interface avec ledit dispositif personnel de sScurite (131). 

31. Terminal selon Tune quelconque des revendications 13 a 30, caracterisS en ce 
15 que ledit module terminal (1 ; 101) est constituS par un lecteur de carte a circuit integre et 

ledit dispositif personnel de sScurite est une carte £t circuit intSgrS (31 ; 131). 

32. Terminal selon la revendication 13, caracterisS en ce que ledit module terminal (1) 
comprend un ordinateur personnel (102) et en ce que ladite mSmoire reprogrammable est 
constitute par le disque dur (102b) dudit ordinateur. 

20 33. Terminal selon la revendication 32 et Tune quelconque des revendications 14 a 

17, caracterise en ce que ledit premier microprocesseur est constitue par le microprocesseur 
(102c) dudit ordinateur personnel (102), ledit ordinateur personnel (102) Stant en outre 
interface audit microprocesseur sScurisS (3). 

34. Terminal selon la revendication 32, caracterisS en ce que ledit logiciel filtre (F) 
25 comprend un premier module de chargement/dSchiffrement (Fed) et un deuxteme module 

chiffrS (Fchi) pour ladite traduction des requites de haut niveau, ledit premier module (Fed) 
commandant le chargement dudit deuxteme module (Fchi) en mSmoire RAM dudit ordinateur 
(102) et son dSchiffrement pour I'exScution dudit logiciel filtre par ledit ordinateur. 

35. Terminal selon la revendication 32, caractSrisS en ce que ledit logiciel filtre (F) 
30 comprend au moins un premier module (F-PQ implante sur ledit ordinateur personnel (102) et au 

moins un deuxteme module (F-SE) implante sur un serveur de security (Ssec), ledit ordinateur 
personnel (102) et ledit serveur de sScuritS (Ssec) Stant connects par un canal de communication 
sScurise (CS) permettant un Schange de donnSes protegS entre lesdits modules. 

36. Terminal selon Tune quelconque des revendications 32 £ 35, caracterise en ce 
35 que ledit dispositif personnel de sScurite (31) est une carte & circuit integrS. 
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37. Systeme pour la mise en oeuvre de transactions securisee, caracterisS en ce qu'il 
comprend au moins un terminal (1, 31 ; 101, 131) selon I'une quelconque des 
revendications 1 a 36, et au moins une unite 6lectronique (Sap ; PC) comportant des moyens 
pour transmettre lesdites requetes de haut niveau audit terminal (1, 31 ; 101, 1 31). 
5 38. Systeme selon la revendication 37, caracteris£ en ce qu'il comprend une plurality 

de terminaux (1, 31 ; 101, 131), au moins un serveur (S) constituant ladite unite 
electronique, et des moyens (CR) de transmission de donnees nunteriques entre ledit serveur 
(S) et lesdits terminaux. 
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